Skydda din organisation mot Ransomware

Är ransomware bara en annan gråvarg, eller något som organisationer bör ta på allvar? Orange Business Services anser att ransomware är det främsta IT-hotet idag. Företagets bästa råd är att skydda dig själv innan hotet påverkar dig.

Inget tomt hot

”Företag och andra organisationer har vant sig vid varningar om datorhot utan att påverkas av dem. Därför är det frestande att ignorera ransomware hotet. I gengäld fungerar avvärjande insatser för ransomware också förebyggande mot många andra hot”, säger Fredrik Svantes, ledare för Orange Business Services SIRT (Security Incident Response Team).

Orange Business Services levererar komplexa IT-lösningar för verksamhetskritisk programvara. Företagets referenslista omfattar stora företag, inklusive offentlig förvaltning, transportföretag och finansiella företag. Allt beror på att deras IT-system körs utan avbrott. Med det ansvaret följer även kravet om att Orange Business Services noga övervakar hotnivån för IT-lösningarna.

”Vi har sett attackförsök. Något större företag med en sund ekonomi är särskilt utsatta”, bekräftar Svantes.

Förlust av tid och intäkter

Attackhistorierna fortsätter att komma. Här är två av dem: Ett sjukhus i Kalifornien infiltrerades. För att få tillgång till sina egna patientjournaler betalade de 20 000 dollar. I januari 2012 tog ransomware över 20 miljoner filer på Utbildningsverket.

Historien om National Agency for Education är den mest typiska av alla. Enligt dn.se (Dagens Nyheter, Daily News) öppnade en anställd en fil som hamnade i brevlådan. Således smittades personens dator och dokumentservern för hela organisationen. På servern fanns de flesta dokument som de anställda hade, inklusive affärsbeslutsrapporter och annat stödmaterial. Det tog nästan en vecka att återställa servern från en säkerhetskopia som tagits dagen innan.

”En vecka utan tillgång är lång tid och kommer att medföra förseningar och förluster. Även om du uppmanas att inte betala lösen, frestas många för att få tillbaka tillgång till sina filer. När allt kommer omkring kan det innebära en total katastrof att inte få tillbaka filerna. Tendensen är att storleken på lösensumman ökar tillsammans med betalningsviljan”, säger Svantes.

Infekterade annonser

Infektionen kan också komma från infekterade webbplatser. Många som hör detta tror intuitivt att det betyder att någon har besökt webbplatser som inte är tillförlitliga.
Men ransomware distribueras via annonsnätverk i annonser som finns på de flesta helt normala webbplatser, inklusive online-tidningar och bloggar. Med andra ord, om du vill distribuera ett virus kan du köpa annonsutrymme och till exempel ladda upp en fil med flash-animering. Användare utan uppdaterad flash-programvara / klienter på sina datorer utsätts för infektionsrisk.

”Kriminella tjänar pengar på att göra detta, och därför har de inga problem med att betala för annonserna”, säger Svantes

Attackerar Tv:n och andra ”Internet-saker”

Problemet med ransomware och annan skadlig kod kommer att växa på grund av förekomsten av Internet of Things (IoT). Dessa saker är anslutna till internet på ett eller annat sätt. Många av dem är billiga jämfört med till exempel en server eller en dator. De kan vara säkra när de köps, men tillverkaren eller du kanske inte är särskilt intresserad av att ta kostnaderna för att hålla dem uppdaterade. De första TV-apparaterna har redan tagits med rabatterad ransomware. För några hundra kan du få enheten igång igen. Det faktum att livskritisk medicinsk utrustning kan vara öppen för denna typ av attacker är ännu allvarligare.

8 tips för att skydda ditt företag mot ransomware

Det bra med metoder för att skydda dig mot ransomware är att de också fungerar mot annan skadlig kod och andra typer av attacker.

Tips 1: Se till att organisationen har rätt kunskap och kultur

Med tanke på att antivirussystem och brandväggar rutinmässigt uppdateras och blockerar regelbundna massattacker, tvingas skurkarna hitta nya, smarta vägar. Ett fenomen som snabbt sprider sig är att attackerna riktas mot individer. Genom att söka på Facebook, LinkedIn eller andra sociala kanaler hittar de information om personer och deras nätverk. Sedan skickar de e-postmeddelanden till offren, som känner sig säkra på grund av informationens personliga karaktär.

Konsekvensen av detta är att företag måste skapa en kultur med tillräcklig kunskap om denna typ av tillvägagångssätt och därför vara extra uppmärksamma på vad som kan hända. En vaksam inställning till e-post och minnessticka måste vara en del av en sådan kultur. För det första bör inte alla e-postmeddelanden öppnas. För det andra bör inte alla bilagor öppnas. För det tredje, svara inte på allt. Och sätt inte i något okänt minne i datorn!

Tips 2: Upprätta rutiner för att hantera attacker och se till att alla känner till dem

Någon tar chansen att öppna ett e-postmeddelande eftersom de inte vill vara till olägenhet eller avslöja sin ”dumhet”. Klart ingen bra idé. Människor behöver veta vem de ska kontakta och att de kommer att mötas på ett vänligt och professionellt sätt.

Om något inträffar måste anmälningsförfarandena vara kristallklara, ansvarsfördelningen obestridlig och åtgärderna omedelbara. Organisationen måste behålla övervakningsutrustning och kontrollera denna utrustning, inklusive se till att det finns abonnenter på säkerhetsuppdateringar.

En del av beredskapen är att öva. Övning kan göras på olika nivåer: från IT-avdelningen till hela organisationen.

Tips 3: Ha en säkerhetskopia och se till att den fungerar

Du har hört detta råd tidigare: säkerhetskopiering. Men om din säkerhetskopia är ganska ny och du har återställningsprocesser som fungerar, kommer du att vara relativt bra även om du påverkas av ransomware.

Du kan inte säkerhetskopiera databasbaserade system (CRM, ERP, finansiella system etc.) som körs. Sådana system måste därför ställas in för att säkerhetskopiera sina egna data och sedan säkerhetskopiera dessa säkerhetskopior. Inga säkerhetskopior är säkra innan du har testat att de kan användas (återställa). Molnbackups kan vara bra, men kom ihåg att överföring av stora mängder data kan ta ganska lång tid.
Blockera reservservern för alla typer av användare utom själva säkerhetskopieringsprogrammet. På så sätt förhindrar du att infektionen förstör säkerhetskopian.

Tips 4: Begränsa vilka program användarna kan köra

De flesta använder för närvarande antivirus, men antivirus kan bara stoppa känd skadlig kod. Varje dag finns det nya varianter som antivirusprogrammet inte kan känna igen, eftersom angriparna byter skadlig programvara och testar det mot vanliga antivirusprogram precis innan de skickar ut det.

”Whitelisting” är motsatt taktik: I stället för, eller förutom, att hålla en lista med program som du inte vill köra, behåller du en lista med programvara du faktiskt vill ha. Ransomware finns inte på listan och körs därför inte.
”Whitelisting” har visat sig vara svårt i praktiken men blir nu lättare att använda. Det är den mest effektiva tekniken mot ransomware.

Tips 5: Se till att all programvara är uppdaterad

Detta gäller både klienter och servrar. Flash och Java är två utsatta system där de flesta infektioner förekommer idag. Föråldrad programvara kan ha säkerhetshål som skurkarna kan tvinga sig igenom.

Tips 6: Använd intrångsdetekteringssystem (IDS)

IDS-system övervakar nätverkstrafiken. Om systemet upptäcker en dator som börjar skicka ut stora mängder data eller kontaktservrar som den vanligtvis inte använder, är detta en tidig infektionsindikation som kan användas för att blockera datorn och skydda andra.

Tips 7: Segmentera nätverk och rättigheter

Detta innebär att säkerställa att olika anställda endast har läs- eller skrivåtkomst till de specifika områdena på en server som de behöver. Om de påverkas av ransomware kommer detta bara att påverka dessa områden.

Dessutom bör användaren inte få installera någon programvara eller köra programvara som administratör. På så sätt begränsas alla infektioner till de områden som användaren har tillgång till och kan inte enkelt ta över hela datorn.

Tips 8: Ha en uppdaterad brandvägg

Brandväggen hindrar externa användare att komma åt det lokala nätverket. Klassiska brandväggar blockerar ingångar. Men vissa portar, som port 80 (normalt www / http) måste vanligtvis vara öppna, och en klassisk brandvägg stoppar därför inte attacker via den här porten. Mer avancerade brandväggar övervakar därför innehåll som kommer genom portarna. Under alla omständigheter finns det mindre risker för datoranvändning bakom en brandvägg än framför den.