Materiał powstał we współpracy z DAGMA
Coraz więcej przedsiębiorców zdaje sobie sprawę z zagrożenia, jakie niesie ze sobą złośliwe oprogramowanie, zwłaszcza kampanie ransomware. Choć sama koncepcja blokowania dostępu do danych i żądania w zamian okupu nie jest nowa (pierwsze ransomware było dystrybuowane na dyskietach już w 1989 r.), to jednak w ostatnim czasie jest to jedno z najpopularniejszych i najgroźniejszych rodzajów szkodników wykorzystywanych przez cyberprzestępców. Wzrost popularności ransomware można było zauważyć zwłaszcza po dwóch globalnych kampaniach w roku 2017 r., znanych jako WannaCry oraz Petya/NotPetya. Wówczas atakujący zaszyfrowali komputery setek instytucji i firm (m.in. brytyjska służba zdrowia, Telefonica, FedEx czy Nissan), a straty szacuje się w miliardach dolarów. W ostatnim czasie ofiarą ransomware padła firma Garmin – producent popularnych smarwatchy i urządzeń ubieralnych.
Ewoluujące ransomware
Mechanizm działania oprogramowania ransomware początkowo nie różni się od działania innych typów złośliwego oprogramowania – zainfekowany plik może być dostarczony np. poprzez wiadomość mailową, której autor podszywa się pod zaufaną przez potencjalną ofiarę osobę lub organizację (np. firmę kurierską). Po pobraniu i uruchomieniu ransomware rozpowszechnia się w firmowej sieci i szyfruje pamięć działających w niej urządzeń. Ofierze przedstawiane jest następnie żądanie okupu – zazwyczaj napastnicy żądają przelewu w kryptowalutach na wskazany przez nich portfel, gdyż zabezpieczenia kryptograficzne pozwalają skutecznie chronić ich tożsamość. Wysokość okupu może wynieść nawet kilkaset tysięcy dolarów.
Tak prezentuje się ogólny przebieg klasycznego ataku ransomware, niemniej w ostatnim czasie mamy do czynienia z jego ewolucją, która szczególnie groźna jest dla przedsiębiorstw. Atakujący nie poprzestają bowiem na szyfrowaniu pamięci, ale także dysponują kopią przechwyconych danych. Jeśli firma, która padła ofiarą ransomware, nie zamierza wpłacać okupu, to dane są po kawałku publikowane. Nietrudno sobie wyobrazić, jakie zagrożenie niesie to dla firm – wśród przechwyconych danych mogą znaleźć się firmowe maile, dane osobowe i inne wrażliwe informacje, choćby elementy firmowego know-how. W rezultacie firmy, których dane zostaną upublicznione, nie tylko utracą dostęp do swojej infrastruktury, ale także narażą się na trwałą utratę konkurencyjności, kary finansowe oraz gigantyczne problemy wizerunkowe. Zapewne niejedna firma po takim ciosie już się nie podniesie.
Socjotechnika w natarciu
Ransomware, nawet w nowej odsłonie łączącej paraliż firmowej infrastruktury z wyciekiem danych, to zaledwie wierzchołek góry lodowej. Podczas pandemii znacząco wzrosła także liczba ataków typu Business Email Compromise. W tym scenariuszu atakujący, z pomocą ogólnodostępnych informacji (np. zawartych na stronie internetowej firmy czy w portalu LinkedIn) identyfikują w organizacji konkretnych pracowników, np. księgowych. Następnie kierują do nich dalece spersonalizowane wiadomości mailowe, mogą to być prośby o opłacenie zaległej faktury. Z użyciem tzw. technik białego wywiadu mogą się oni nawet podszyć pod faktycznych kontrahentów firmy lub osoby z jej kierownictwa, co przydaje im autentyczności. Dość powiedzieć, że w zeszłym roku jedna ze spółek Polskiej Grupy Zbrojeniowej straciła w ten sposób 4 mln złotych.
Jak już wspomniano, szczególny wzrost liczby ataków odnotowany został po wybuchu pandemii. Dzieje się to w bezpośrednim następstwie popularyzacji pracy zdalnej i poluźnienia firmowych polityk bezpieczeństwa, a przynajmniej nadzoru nad ich przestrzeganiem. W sytuacji, gdy pracownicy pracują w swoich domach utrudnione jest szybkie potwierdzenie tożsamości nadawcy czy choćby konsultacja ze współpracownikiem. W efekcie kampanie tego typu odnoszą wielkie sukcesy, a firmy liczą starty.
Jak się chronić?
W obliczu nowych zagrożeń i intensyfikacji kampanii hakerskich realizujących całe spektrum scenariuszy mogących narazić organizacje na gigantyczne straty, jeszcze ważniejsze niż dotychczas staje się zapewnienie odpowiedniego poziomu bezpieczeństwa. Dotyczy to zarówno infrastruktury firmowej, jak i urządzeń będących do dyspozycji pracowników. Zwłaszcza, że dziś nie muszą się one wcale znajdować w siedzibie firmy. Jednym z wiodących dostawców rozwiązań oferujących kompleksową ochronę przed wspomnianymi zagrożeniami, a także setkami innych rodzajów złośliwego oprogramowania, jest firma ESET. W jej portfolio znajdziemy szeroki wybór produktów służących zarówno do zabezpieczania firmowych serwerów, poczty czy środowisk wirtualnych, jak i jej punktów końcowych – urządzeń mobilnych, laptopów i stacji roboczych.
W centrum ochrony dostarczanej przez ESET jest rozwiązanie ESET Secure Business Cloud. Jest to scentralizowana usługa chmurowa pozwalająca na pełną zdalną administracje ochroną antywirusową firmy. Obejmuje ona zarówno serwery plików, serwery poczty, jak i ochronę urządzeń końcowych. Ponadto możliwe jest także rozszerzenie go o narzędzie do pełnego szyfrowania pamięci urządzeń zgodnie z wymogami stanowionymi przez RODO – ESET Full Disk Encryption. Struktura bazująca na rozwiązaniu działającym w chmurze nie tylko umożliwia wygodne zarządzanie bezpieczeństwem całej firmowej infrastruktury, ale także upraszcza i przyśpiesza wdrożenie, co przekłada się na oszczędności. Dostęp do panelu Cloud Administrator uzyskuje się za pośrednictwem przeglądarki – dzięki temu aplikacja aktualizowana jest automatycznie, wdrożenie nie wymaga instalacji jakiegokolwiek dodatkowego sprzętu, a osoba odpowiedzialna za cyberbezpieczeństwo w firmie może uzyskać dostęp do niezbędnych narzędzi z każdego miejsca na świecie.
Do zabezpieczania urządzeń końcowych służy z kolei oprogramowanie ESET Endpoint Security dostępne między innymi na systemy Windows, macOS, liczne systemy linuksowe, a także systemy mobilne – Androida i iOS-a. Długą listę kompatybilności zapewniono także w przypadku oprogramowania serwerowego: znajdziemy tu zarówno oprogramowanie Microsoftu, dystrybucje Linuksa, a nawet FreeBSD. Firmy decydujące się na wdrożenie ochrony ESET mogą więc zakładać, że zabezpieczone zostanie każde należące do organizacji urządzenie, niezależnie od tego, czy mowa o serwerze poczty, laptopie czy smartfonie. Chronione są także środowiska wirtualne VMware. Na uwagę zasługuje ponadto rozwiązanie ESET Dynamic Threat Defense – dodatkowa warstwa ochrony pozwalająca wykrywać nowe, nieznane dotąd szkodniki. Odbywa się to z użyciem działającej w chmurze piaskownicy – ściśle odizolowanego od reszty infrastruktury miejsca, gdzie analizowane są nowe zagrożenia.
Ochrona ESET stanowi wyspecjalizowaną odpowiedź na konkretne zagrożenia. Dość wspomnieć funkcję ESET Ransomware Shield. Jest to silnik analizujący wzorce zachowań poszczególnych programów, które na bieżąco zestawiane są z modelami typowych operacji, które są realizowane przez zagrożenia typu ransomware. W rezultacie system jest w stanie sprawnie zabezpieczyć firmę przed nowymi wariacjami cyberzagrożeń wyłącznie na podstawie analityki, a nie danych dostarczanych z zewnątrz. Ponadto ochrona ESET szerokie możliwości ma także pod względem izolowania potencjalnie niebezpiecznych plików. Oprócz wspomnianego już mechanizmu Dynamic Threat Defense dostępny jest też zaawansowany skaner pamięci, dzięki któremu w odizolowanej piaskownicy aplikacja ESET może analizować zagrożenia bezplikowe, czyli takie, które działają w pamięci operacyjnej.
Obok kompletności, skuteczności i szerokiej kompatybilności rozwiązań ESET dla firm, dużym atutem podczas wdrożeń jest także elastyczny model licencyjny pozwalający m.in. na przenoszenie licencji pomiędzy urządzeniami, zapewniający wygodną możliwość nabywania dodatkowych licencji oraz łączenia różnych modeli licencyjnych w zależności od platformy. W rezultacie ochrona ESET przed najpopularniejszymi, ale także dotąd nieznanymi zagrożeniami jest w przypadku firm łatwa we wdrożeniu, a przy tym pozwala na daleko idącą optymalizację kosztów.
Materiał powstał we współpracy z DAGMA