Group IB

Что заявка на киберстрахование может рассказать о готовности к атакам программ-вымогателей

Что заявка на киберстрахование может рассказать о готовности к атакам программ-вымогателей
Что заявка на киберстрахование может рассказать о готовности к атакам программ-вымогателей
11.05.2022

Ежегодная форма заявки на киберстрахование показывает, что, по мнению операторов, вы должны сделать, чтобы наилучшим образом предотвращать и восстанавливаться после атак программ-вымогателей.

Именно в это время заполняется годовая заявка на полис киберстрахования. Каждый год это дает представление о том, что страховые компании считают полезным для оценки рисков и угроз для бизнеса, и что, как они подчеркивают, необходимо использовать лучшие практики. Их отсутствие может повлиять на страховые тарифы и на то, имеет ли компания право на киберстрахование, пишет издание CSO.

Прошедший год был интересным, потому что он требовал конкретных методов предотвращения и защиты от программ-вымогателей. Вот вопросы, которые стоит выделить в этом плане.

Есть ли у вас двухфакторная аутентификация?

Поставщик страховых услуг автора статьи спросил, есть ли у нее двухфакторная аутентификация (2FA) для защиты удаленного доступа к сети. Они реагируют на тот факт, что как виртуальные частные сети (VPN), так и протокол удаленного рабочего стола (RDP) обеспечивают эффективный доступ как для злоумышленников, так и для пользователей. Иногда мы отказываемся от удаленного доступа, чтобы получить доступ к физическим и виртуальным серверам, но злоумышленники нацелены на эти инструменты, чтобы проникнуть в сеть.

Настройте объекты групповой политики, которые ссылаются на все организационные единицы (OU) контроллера домена в лесу, чтобы разрешить подключения RDP только от авторизованных пользователей и систем, таких как серверы перехода. Удаленный доступ к серверам должен быть специально настроен как можно более безопасным.

В наши дни наши полномочия - это наши границы. Наличие инструментов, которые проверяют учетные данные и обеспечивают дополнительную защиту, является ключом к тому, чтобы злоумышленники не могли получить доступ. Условный доступ позволяет настроить защиту в зависимости от того, что делает пользователь, и предписывает дополнительные действия, если пользователь входит в систему с определенной ролью или из необычного места.

Автор статьи сообщает, что использует двухфакторную аутентификацию для административных ролей, но делает ее необязательной для входа в систему с ранее проверенных устройств. Предусмотрена дополнительная проверка, если пользователь входит в систему из необычного места. Рекомендуется спроектировать условный доступ таким образом, чтобы он уравновешивал потребность в запросах аутентификации таким образом, чтобы запрашивалась двухфакторная аутентификация, когда поведение пользователя подвергает риску сеть.

Приложение для полиса киберстрахования также спрашивало, обязался ли клиент использовать двухфакторную аутентификацию для защиты электронной почты. В этом вопросе подразумевается, были ли заблокированы старые, менее безопасные протоколы электронной почты, такие как POP. Лучший способ защитить электронную почту - убедиться, что у вас есть платформа, поддерживающая современные протоколы аутентификации и возможность добавления 2FA.

Развернули ли вы средства обнаружения и реагирования конечных точек?

Приложение страхования кибербезопасности спросило, был ли развернут инструмент обнаружения и реагирования на конечных точках (EDR). До недавнего времени EDR был неуловим для малого и среднего бизнеса (SMB). Теперь в дополнение к решениям EDR, таким как Crowdstrike, Cylance и Carbon Black, новинка в блоке решений EDR является самой доступной для малого и среднего бизнеса: Microsoft Defender для бизнеса.

Если у вас есть Microsoft 365 Business Premium, Defender для бизнеса уже включен в ежемесячную стоимость продукта. Если вы хотите приобрести его отдельно, он будет стоить 3 доллара США за пользователя для предприятий до 300 пользователей. У малого и среднего бизнеса часто нет ресурсов для расследования инцидента безопасности. Тем не менее, регулирующие органы и отрасли все чаще ставят перед нами задачу определить, когда у нас произошло нарушение.

Продукты EDR автоматизируют многие методы расследования и позволяют фирме определить, есть ли у них проблемы с боковым перемещением или был ли использован вредоносный сценарий PowerShell для управления системами. Также они отвечают на вопрос, как злоумышленник попал в сеть и что он для этого использовал. С помощью этих инструментов вы сможете лучше понять, как злоумышленники получили доступ к вашей системе, и таким образом защитить себя от следующей атаки.

Какие решения для фильтрации электронной почты вы используете?

Приложение киберстрахования спросило, используется ли решение для фильтрации электронной почты для предотвращения фишинговых атак или атак программ-вымогателей. Многие атаки осуществляются через электронную почту и используют макросы Office для получения доступа к системе или используют нулевые дни в пакетах Office для получения большего доступа к рабочей станции. 

Автор обнаружил, что защита от фишинга «учится», и хотя она может пропустить первоначальную атакующую электронную почту, к тому времени, когда злоумышленники начнут рассылать атакующие электронные письма всем другим пользователям в офисе, она узнает, что есть и не является вредоносным и начинает блокировать его вскоре после начала рассылки атакующих писем.

Используете ли вы решение для резервного копирования всех важных данных?

Резервное копирование было подчеркнуто в приложении киберстрахования, но не просто резервное копирование. Ему нужно было знать, готовились ли резервные копии ежедневно, еженедельно или ежемесячно, а затем готовились ли резервные копии локально, по сети или с помощью резервной копии на ленте. Также был задан вопрос, есть у меня резервная копия вне офиса, облачная резервная копия или любой другой тип резервного копирования.

Приложение спросило, было ли решение для резервного копирования данных изолировано или отключено от сети таким образом, чтобы уменьшить или исключить риск компрометации резервной копии в результате атаки вредоносного ПО или программы-вымогателя, которая распространяется по сети. Наличие процесса резервного копирования, который может противостоять атаке программы-вымогателя, является ключом к обеспечению того, чтобы ваша фирма и ее активы могли быстро восстановиться после атаки. Эксперты слишком часто отмечают, что компании не могут легко восстановиться, потому что процесс резервного копирования и восстановления может занять недели, а не дни.

В итоге внимательно присмотритесь к своему полису киберстрахования и связанной с ним анкете. Задайтесь вопросом, делаете ли вы все возможное для защиты своей фирмы и адаптируете ли свои действия в соответствии с тем, что ваша страховая компания считает передовыми практиками.

Автор: Susan Bradley

Комментарии 0