9 наиболее важных шагов для малого и среднего бизнеса по защите от атак программ-вымогателей

Как лучше всего защитить себя от программ-вымогателей для малого и среднего бизнеса? Программы-вымогатели атакуют компании по всему миру, пишет издание CSO. 

Компания Mandiant ранее сообщала, что количество программ-вымогателей растет и, похоже, эта тенденция не замедляется. Ниже приведен список из девяти пунктов, на которых предприятия малого и среднего бизнеса должны сосредоточиться, чтобы снизить риск атак программ-вымогателей.

1. Необходимо иметь план резервного копирования и проверенный процесс восстановления

Кто-то может возразить, что многофакторная аутентификация (MFA) - лучший способ защитить компанию, но стоит сказать, что лучше иметь проверенный процесс резервного копирования и восстановления. Слишком часто предприятия упускают из виду наличие резервной копии и процесс восстановления. 

Специально для фирм с локальными серверами и контроллерами домена предусмотрите процесс, при котором кто-либо из сотрудников фирмы, консультант или поставщик управляемых услуг выполняет пробный запуск фактического процесса восстановления. 

Когда кто-то делает пробный прогон, часто обнаруживается, что нужно выполнить какой-то шаг, который можно забыть восстановить из процесса «голого железа». Вы можете обнаружить, что родительскому элементу HyperV требуются дополнительные действия или необходимо стать владельцем образа восстановления, чтобы полностью восстановить сервер HyperV или виртуальную машину до полного рабочего состояния. Убедитесь, что у вас есть сценарий восстановления или руководство, на основе которого персонал, которому поручено восстановление, знал последующие шаги. Задокументированные шаги помогут снизить стресс от всего мероприятия.

2. Никаких общедоступных подключений к удаленному рабочему столу

Не храните серверы с общедоступным подключениям к удаленному рабочему столу. Многие атаки программ-вымогателей начинаются с того, что злоумышленники либо угадывают пароли, либо находят репозитории административных паролей, оставленные в онлайн-базах данных и хранилищах типа GitHub. Мы часто сами себе злейшие враги, когда дело доходит до персональных данных, поэтому никогда не используйте общедоступный протокол удаленного рабочего стола (RDP) в производственных сетях.

3. Ограничьте учетные данные администратора и администратора домена

Проверьте свою сеть на предмет использования учетных данных локального администратора, а также учетных данных администратора домена. SMB слишком часто выбирают легкий путь и позволяют пользователям быть локальными администраторами без ограничений. Еще хуже, когда сеть настроена, предоставляя пользователям права администратора домена.

У пользователя сети нет причин иметь роли или права администратора домена, пока он является пользователем. В течение многих лет поставщики часто назначали права администратора домена, потому что это было легко исправить, чтобы приложение работало правильно. Поставщики отказались от предоставления прав администратора и теперь требуют определенных установок в профиле пользователя, но до сих пор можно услышать сообщения о том, что консультанты находят сети, в которых пользователи являются администраторами домена. На контроллере домена выполните команду get-adgroupmember «Администраторы домена». Ни один пользователь в вашей организации не должен быть администратором домена.

4. Иметь политику подтверждения финансовых транзакций

Чтобы гарантировать, что ваша организация не будет атакована компрометацией деловой электронной почты (BEC), убедитесь, что у вас есть согласованный процесс обработки финансовых транзакций, проводов и переводов. Никогда не полагайтесь на электронную почту, чтобы предоставить вам информацию об учетной записи для денежных переводов. 

Злоумышленники часто знают, что у вас есть проекты, и отправляют электронные письма, пытаясь заманить вас перевести средства на принадлежащие им счета. Всегда подтверждайте в принимающей организации правильность информации об учетной записи. Если в процесс вносятся какие-либо изменения, процесс утверждения должен быть задокументирован, чтобы гарантировать, что изменение уместно.

5. Изолируйте общедоступные серверы

Для любого общедоступного сервера рассмотрите возможность размещения этого сервера в изолированном положении или даже в размещенной ситуации. Общедоступные веб-серверы не должны иметь возможности подключаться к внутренним системам, если вы являетесь малым и средним бизнесом, поскольку ресурсы, необходимые для их надлежащей защиты и обслуживания, часто бывают слишком большими. Ищите решения, которые устанавливают ограничения между внешними веб-ресурсами и потребностями внутреннего домена.

6. Откажитесь от устаревших серверов

Узнайте, можете ли вы вывести из эксплуатации устаревшие серверы. Microsoft недавно выпустила инструментарий, позволяющий клиентам избавиться от последней проблемы с Exchange Server. В течение многих лет единственным способом надлежащего администрирования почтовых ящиков в Exchange Online, где домен использует Active Directory (AD) для управления идентификацией, было наличие работающего сервера Exchange в среде для выполнения действий по управлению получателями.

Средства управления Exchange были выпущены вместе с Exchange Server 2019 CU12 и включают обновленную роль средств управления Exchange, предназначенную для решения сценария, в котором Exchange Server запускается только из-за требований к управлению получателями. Роль устраняет необходимость иметь работающий сервер Exchange для управления получателями. В этом сценарии вы можете установить обновленные инструменты на рабочей станции, присоединенной к домену, закрыть последний сервер Exchange и управлять получателями с помощью Windows PowerShell.

7. Проверьте доступ консультанта

Исследуйте консультантов и их доступы. Злоумышленники ищут слабое звено, и часто это внешний консультант. Всегда следите за тем, чтобы их инструменты удаленного доступа были исправны и обновлены. Убедитесь, что они понимают, что они часто являются точкой входа в компанию и что их действия и слабости также представлены в фирме. Обсудите с вашими консультантами, что конкретно они делают.

8. Сосредоточьтесь на известных эксплуатируемых уязвимостях

Сосредоточьтесь на известных эксплуатируемых уязвимостях. В то время как консультанты по безопасности призывают большие и малые предприятия использовать автоматические обновления, у небольших фирм часто не так много ресурсов для тестирования исправлений. Они часто воздерживаются, чтобы убедиться, что обновления не вызывают побочных эффектов. 

9. Разверните или обновите обнаружение и реагирование конечных точек

Обнаружение конечных точек и реагирование (EDR) становятся все более доступными для малого и среднего бизнеса. Microsoft 365 Business Premium поддерживает EDR в виде Microsoft Defender для бизнеса.