Как защитить сеть от DarkSide и других программ-вымогателей

Следующие ниже методы могут помочь организациям снизить риск инцидента с шифраторами.

Тренинг по повышению осведомленности о кибербезопасности: поскольку большая часть программ-вымогателей распространяется посредством действий, инициированных пользователями, организациям следует внедрять обучающие программы, направленные на обучение конечных пользователей основам кибербезопасности. Программы-вымогатели и методы их распространения постоянно развиваются, поэтому обучение должно происходить постоянно, чтобы конечные пользователи могли столкнуться с текущими угрозами.
Гигиена учетных данных: соблюдение надлежащей гигиены учетных данных может помочь предотвратить атаки методом перебора, смягчить последствия кражи учетных данных и снизить риск несанкционированного доступа к сети.
Многофакторная аутентификация: MFA обеспечивает дополнительный уровень безопасности, который может помочь предотвратить несанкционированный доступ к учетным записям, инструментам, системам и хранилищам данных. Организации должны рассмотреть возможность включения MFA везде, где это возможно.
Исправления безопасности: организации любого размера должны иметь надежную стратегию управления исправлениями, которая гарантирует, что обновления безопасности на всех конечных точках, серверах и устройствах применяются как можно скорее, чтобы минимизировать окно возможностей для атаки.
Резервное копирование: резервное копирование - один из наиболее эффективных способов смягчения последствий инцидента с программным вымогателем. Многие виды программ-вымогателей могут распространяться по сети и шифровать локально хранимые резервные копии, поэтому организациям следует использовать различные хранилища мультимедиа и хранить резервные копии как на месте, так и за его пределами. См. Это руководство для получения дополнительной информации о создании резервных копий, защищенных от программ-вымогателей.
Повышение безопасности системы: усиление защиты сетей, серверов, операционных систем и приложений имеет решающее значение для уменьшения поверхности атаки и управления потенциальными уязвимостями безопасности. Отключение ненужных и потенциально используемых служб, таких как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т. Д., Снижает риск первоначального заражения, а реализация принципа наименьших привилегий может помочь предотвратить боковое перемещение.
Блокировать макросы: многие семейства программ-вымогателей поставляются через встроенные макросы Microsoft Office или PDF-документы. Организации должны пересмотреть использование макросов, рассмотреть возможность блокировки всех макросов из Интернета и разрешить выполнение только проверенных и утвержденных макросов из надежных мест.
Аутентификация электронной почты: организации могут использовать различные методы проверки подлинности электронной почты, такие как структура политики отправителя, почта с идентификацией DomainKeys и проверка подлинности сообщений на основе домена, отчетность и соответствие, для обнаружения подделки электронной почты и выявления подозрительных сообщений.
Сегрегация сети: эффективное разделение сети помогает сдерживать инциденты, предотвращает распространение вредоносных программ и сокращает нарушение целостности бизнеса.
Мониторинг сети: организации любого размера должны иметь системы для отслеживания возможных каналов утечки данных и немедленного реагирования на подозрительную активность.
Тестирование на проникновение: тестирование на проникновение может быть полезно для выявления уязвимостей в ИТ-инфраструктуре и уязвимости сотрудников к программам-вымогателям. Результаты теста можно использовать для распределения ИТ-ресурсов и информирования о будущих решениях по кибербезопасности.
План реагирования на инциденты: организации должны иметь комплексный план реагирования на инциденты, в котором точно указывается, что делать в случае заражения. Быстрое реагирование может помочь предотвратить распространение вредоносного ПО, свести к минимуму сбои и обеспечить максимально эффективное устранение инцидента.

https://blog.emsisoft.com/en/38577/ransomware-profile-darkside/