Jak wskazuje Veeam, średnio co szóstej doświadczonej atakiem ransomware organizacji, udało się odzyskać w pełni swoje dane, bez płacenia żadnego okupu. Firmy te rzetelnie podchodziły do kwestii ochrony danych, dbając o niezmnienność i niezawodność tworzonych kopii zapasowych, oraz wdrażając kompleksową strategię reagowania na ransomware, która działała zgodnie z założeniami. Wniosek jest taki, że możliwe jest odzyskanie danych po ataku ransomware, jeśli masz na to konkretny i solidny plan.
Choć dla każdej z organizacji strategia radzenia sobie z atakiem ransomware będzie wyglądać trochę inaczej, z uwagi na specyfikę firmy, branży i danych, Veeam Software udało się opracować uniwersalne 6 elementów planu reagowania na ransomware, który znacząco zwiększa prawdopodobieństwo odzyskania danych po ataku.
W dużym skrócie krytyczne aspekty planu odzyskiwania danych po ataku ransomware powinny obejmować m.in. takie elementy, jak rekonfigurację systemów, wdrożenie szeregu rygorystycznych środków zapobiegawczych, uruchomienie systemów wczesnego wykrywania i reagowania, plan odzyskiwania danych i przywracania aplikacji oraz schemat komunikacji na wypadek wystąpienia incydentu bezpieczeństwa w organizacji. Nie można również zapominać o każdorazowym przeprowadzeniu kompleksowej analizy po incydencie, by zabezpieczyć elementy wysokiego ryzyka i zmniejszyć prawdopodobieństwo wystąpienia kolejnego ataku.
6-etapowy plan reagowania na ransomware w organizacji według Veeam obejmuje:
Etap 1: Działania prewencyjne/ zapobiegawcze
Etap 1 to szereg działań przygotowujących organizację na potencjalny atak ransomware jeszcze przed jego wystąpieniem. Obejmują one edukację pracowników, ocenę ryzyka, wzmacnianie rozwiązań sprzętowych i aplikacyjnych, segmentację sieci oraz tworzenie bezpiecznych kopii zapasowych danych.
- Edukacja pracowników
Pracownicy są pierwszą linią obrony przed atakami złośliwego oprogramowania, należy więc bezwzględnie przeszkolić ich więc powinieneś przeszkolić ich w zakresie rozpoznawania próby ataków (zwłaszcza phishingowych), potencjalnych zagrożeń oraz sposobów wykrywania oznak zainfekowanych systemów i danych.
- Ocena ryzyka
Regularnie przeprowadzana ocena ryzyka pozwala zidentyfikować słabe punkty w zabezpieczeniach przed złośliwym oprogramowaniem i ransomware oraz antycypować prawdopodobieństwo wystąpienia cyberataku przy uwzględnieniu aktualnych zabezpieczeń i specyfiki firmowej infrastruktury IT.
- Zabezpieczenie portów i urządzeń końcowych (endpointów)
W tym celu należy uporządkować kwestie zdalnego dostępu w organizacji: wyłączyć nieużywane porty pulpitu zdalnego, ograniczyć pozostałe protokoły zdalnego dostępu do zaufanych hostów oraz zabezpieczyć urządzenia końcowe za pomocą indywidualnych ustawień konfiguracyjnych.
- Segmentacja sieci i kontrola dostępu
Segmentowanie dostępu do sieci oraz zasobów może odbywać się z wykorzystaniem VPN oraz narzędzi fizycznych. Warto oddzielić zasoby skierowane do klientów od zasobów wewnętrznych organizacji, stosując również zasadę ograniczonego zaufania przy udzielaniu dostępu do danych.
- Wdrażanie aktualizacji systemów i poprawek (patchy) oprogramowania firmowego
Regularne i skrupulatne dbanie o zgodność z najbardziej aktualnymi wersjami oprogramowania i bieżące wdrażanie poprawek w aplikacjach może znacząco ograniczyć ryzyko włamania oraz cyberataku.
- Wdrożenie zasad bezpiecznego tworzenia kopii zapasowych i redundancji danych
Dobra i staranna strategia tworzenia kopii zapasowych nierzadko stanowi ostatnią linię obrony przed utratą danych po cyberataku. Dlatego regularne tworzenie kopii zapasowych z uwzględnieniem reguły 3-2-1-0, nienaruszalności backupu oraz integralności danych jest podstawowym i bardzo ważnym działaniem prewencyjnym.
Etap 2: Wykrywanie i reagowanie
Bardzo ważne jest, aby szybko reagować na wszelkie incydenty związane z ransomware. Dzięki odpowiednim narzędziom monitorującymczęsto możliwe jest przerwanie ataku jeszcze w trakcie jego trwania. Do tego celu należy wykorzystać narzędzia monitoringu aplikacji i systemów, np. AppDynamics oraz całodobowe systemy alertów. Po wykryciu naruszenia kluczowe jest, by podjąć właściwe kroki i odpowiednie działania, co najprawdopodobniej znacząco zminimalizuje konsekwencje ataku.
- Określenie zagrożonych systemów
Ustalenie, które systemy zostały zaatakowane i natychmiastowe odizolowanie ich od reszty sieci jest pierwszym koniecznym krokiem, który należy wykonać. Jeśli atak dotknął kilka systemów i nie jest możliwe wstępne zweryfikowanie jego zasięgu, należy wyłączyć całą sieć izolując galwanicznie i elektromagnetycznie (LAN w tym WiFi) środowiska przetwarzania danych.
- Wyłączenie urządzeń
Jeśli nie jest możliwe odłączenie urządzeń od sieci, należy wyłączyć zasilanie zainfekowanego sprzętu. Uwaga! Należy pamiętać, że ten krok może usunąć dowody przechowywane w pamięci podręcznej.
- Selekcja dotkniętych naruszeniem systemów
Bardzo ważnym etapem jest identyfikacja systemów krytycznych dla ciągłości działania i uszeregowanie ich według ważności pod względem priorytetów organizacji. Zwykle jest to zapisane w Planach Ciągłości Działania lub Procedurach związanych z Disaster Recovery.
- Analiza logów
Przejrzenie dzienników systemowych pozwala zidentyfikować potencjalne powody naruszenia danych i prawdopodobną ścieżkę włamania.
- Ustalenie prawdopodobnego scenariusza cyberataku
Ustalenie sekwencji zdarzeń prowadzących do ataku pozwoli odkryć sposób, w jaki złośliwe oprogramowanie czy malware były w stanie przeniknąć do Twojej sieci.
- Identyfikacja zagrożenia
Zwieńczeniem tego etapu jest identyfikacja oprogramowania ransomware, jego wariantu/ rodzaju oraz pozostałych typów złośliwego oprogramowanie w systemach (jeśli wystąpią).
Etap 3: Komunikacja i raportowanie
Po wystąpieniu naruszenia kluczowe jest jak najszybsze zgłoszenie incydentu oraz dokładne poinformowanie poszkodowanych stron (np. klientów) o tym, co się stało. Szybka i transparentna komunikacja pomoże złagodzić krótko- i długoterminowe konsekwencje, takie jak utrata wiarygodności, straty finansowe wynikające z przestoju, czy kar umownych.
- Komunikacja wewnętrzna
Natychmiast po wystąpieniu incydentów należy poinformować wszystkich pracowników i strony, których dotyczą konsekwencje naruszenia o jego przebiegu i krokach podjętych w celu zminimalizowania szkód. Bardzo ważne jest, aby pamiętać o regularnych aktualizacjach. Od formy i jakości tej komunikacji zależeć będzie także spójność komunikacji z otoczeniem zewnętrznym.
- Powiadomienie odpowiednich władz
Zgłoszenie incydentu lokalnym lub krajowym organom porządku publicznego wynika z lokalnych rozporządzeń oraz legislacji obejmującej specyfikę danej branży. Po wystąpieniu naruszenia należy zatem niezwłocznie spełnić wszystkie zobowiązania prawne w zakresie powiadomienia regulatorów i podmiotów nadzorujących.
- Komunikacja zewnętrzna
Powiadomienie klientów i partnerów biznesowych o incydencie oraz opublikowanie odpowiednich informacji dotyczących zakresu szkód jest bardzo ważnym krokiem zaradczym, gdyż należy pamiętać, że przestępcy często grożą ujawnieniem poufnych informacji, aby zmusić ofiary do zapłacenia okupu.
- Zachowanie transparentności
Chociaż naturalnym jest, że w pierwszym odruchu firmy chcą ukryć szkodliwe informacje, wiadomości o cyberatakach i naruszeniach zazwyczaj nieuchronnie przedostają się na zewnątrz. Transparentność i szczera, otwarta komunikacja minimalizują szkody dla reputacji organizacji i daje poszkodowanym stronom możliwość podjęcia kroków w celu ochrony swoich wrażliwych danych.
Krok 4: Strategie ograniczania szkód
Przed podjęciem kroków mających na celu usunięcie oprogramowania ransomware z systemu, należy przechwycić i zabezpieczyć obrazy, migawki oraz zawartość pamięci podręcznej wszystkich zainfekowanych urządzeń. Informacje te są pomocne w procesie ustalenia, w jaki sposób systemy zostały naruszone. Ważne jest także, aby zachować informacje przechowywane w pamięci systemowej, logach i metrykach firewalla.
- Konsultacje z organami nadzoru bezpieczeństwa
Rozmowa z organem nadzoru bezpieczeństwa właściwym dla Twojej organizacji oraz dostawcą zabezpieczeń pomoże zebrać ważne rekomendacje w zakresie minimalizowania szkód po cyberataku oraz dobrych praktyk dotyczących odzyskiwania danych z kopii zapasowych.
- Identyfikacja dotkniętych cyberatakiem systemów
- Wyłączenie urządzeń i punktów końcowych VPN, opartych na chmurze publicznej.
- Wyłączenie szyfrowania danych po stronie serwera.
- Identyfikacja wewnętrznych i zewnętrznych mechanizmów utrzymania.
Krok 5: Strategie eliminacji
Głównym celem strategii eliminacji jest usunięcie wszystkich śladów oprogramowania ransomware i złośliwego oprogramowania z systemów.
- Wyczyszczenie wszystkich zainfekowanych systemów.
- Odbudowa systemów korporacyjnych, zaczynając od systemów krytycznych.
- Zresetowanie wszystkich haseł.
- Usuwanie i blokowanie zidentyfikowanych luk w zabezpieczeniach, podejrzanych stron internetowych i złośliwego oprogramowania.
- Wydanie oświadczenia przez wyznaczony organ IT po usunięciu wszystkich śladów oprogramowania ransomware i odbudowie systemów w celu potwierdzenia, że incydent związany z oprogramowaniem ransomware został zakończony.
Krok 6: Odzyskiwanie i przywracanie
W tym momencie można już przywrócić dane i wrócić do pracy. Jest to kluczowy moment, w którym następuje weryfikacja skuteczności strategii przechowywania kopii zapasowych.
- Do przywracania systemów należy używać bezpiecznych kopii zapasowych.
- Konieczne jest upewnienie się, że kopie zapasowe są wolne od niebezpiecznego kodu w tym ransomware, aby podczas odzyskiwania nie doszło do ponownego zainfekowania odtworzonych systemów.
- Opisanie i wdrożenie dobrych praktyk wysnutych na bazie wniosków z cyberataku w celu wzmocnienia środków bezpieczeństwa.
- Wdrożenie rozwiązań do ciągłego monitorowania ransomware.
- Przeprowadzenie oceny po incydencie.
Najlepsze praktyki reagowania na incydenty związane z oprogramowaniem ransomware
Częstotliwość występowania ataków ransomware jest tak duża, że należy je traktować w tej samej kategorii, co inne plany zarządzania ciągłością działania. Obejmują one strategie radzenia sobie z poważnymi incydentami, klęskami żywiołowymi i odzyskiwaniem po awarii.
Punktem wyjścia dla planu reagowania na incydenty ransomware jest dokładnie zbadany i udokumentowany plan odzyskiwania danych. Zazwyczaj plan ten obejmuje wszystkich interesariuszy, jasne określenie celów odzyskiwania i strategie komunikacji. Plan identyfikuje odpowiedzialne strony i jasno określa działania, które należy podjąć w przypadku ataku ransomware.
Punkty do rozważenia obejmują:
- Zespół reagowania: Zidentyfikuj wszystkich członków zespołu reagowania, ich obowiązki i funkcje. Wyznacz lidera odpowiedzialnego za koordynację działań.
- Inwentaryzacja: Przygotuj pełną listę wszystkich fizycznych i chmurowych zasobów sprzętowych i programowych, wraz ze schematami ich wzajemnych połączeń, w tym specjalnych, takich jak VPN, wirtualne chmury prywatne, sieci WAN i interfejsy API.
- Zasoby krytyczne: Stwórz listę i priorytetyzuj krytyczne funkcje biznesowe, aplikacje, zbiory danych i kopie zapasowe.
- Lista kontaktów awaryjnych: Uwzględnij wszystkich pracowników, usługodawców, dostawców i klientów, na których może mieć wpływ incydent ransomware, by w razie potrzeby móc się z nimi natychmiast skontaktować.
- Szkolenie: Przeszkol członków zespołu w zakresie ich ról i obowiązków oraz przeprowadź symulację incydentu, aby upewnić się, że każda osoba jest zaznajomiona ze swoją rolą i czuje się w niej komfortowo.
- Plan działania na ransomware: Przygotuj szczegółowy plan działania w odpowiedzi na ransomware.
- Wnioski i rekomendacje: Dokumentuj wnioski wyciągnięte podczas symulacji szkoleniowych i rzeczywistych ataków.
Sformalizowanie i wdrożenie powyższych praktyk w zakresie ochrony przed oprogramowaniem ransomware pomoże Twojej organizacji szybko i skutecznie zareagować w przypadku ataku oraz wykorzystać kopie zapasowe w celu przywrócenia i ponownego uruchomienia usług. Wykorzystaj więc przygotowany materiał do tego, by na jego bazie stworzyć własną checklistę działań koniecznych do podjęcia w przypadku ataku ransomware w Twojej organizacji.
Artykuł powstał na bazie https://www.veeam.com/blog/ransomware-response-plan.html, dostęp z dnia 27.09.2023
Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.