Chraňte svá data před útoky ransomware. Ransomware = vyděračský software Řešení

Transkript

1 Chraňte svá data před útoky ransomware Ransomware = vyděračský software Řešení

2 Zyxel poskytuje rozsáhlou ochranu před potenciálními útoky 2

3 Ransomware Ransomware v současnosti patří mezi klíčová témata ve světě IT. Tento dokument obsahuje informace, názory a doporučení, jak se před hrozbou ransomware chránit. Ransomware už ohrožuje i televizory Co je to ransomware? Ransomware dnes ohrožuje nejen výpočetní techniku, ale dokonce i televizory. Důkazem je například chytrá televize LG, která náhle přestane fungovat a místo vysílání zobrazí zprávu, že k jejímu odemknutí je nutné uhradit 500 dolarů. Toto je jen jeden z celé řady případů útoků vyděračským softwarem, tzv. ransomware. Žádné problematice IT odborníci v současnosti nevěnují takovou pozornost jako právě ransomware. Jeho hlavní obětí bývají společnosti. Podle studie IBM požadované výkupné uhradilo 70 % společností, které se staly obětí ransomware, přičemž polovina z nich zaplatila více než 10 tisíc amerických dolarů a 20 % dokonce více než 40 tisíc dolarů. Německý federální úřad pro informační bezpečnost (BSI) každý den detekuje přibližně 380 tisíc nových variant škodlivých programů, přičemž počet typů ransomware neustále roste. Jelikož neexistují žádné jednoznačné signály této hrozby, společnosti i instituce by se měly chránit. Ransomware je někdy označován také jako šifrovací nebo vyděračský trojský kůň. Celá věc funguje tak, že škodlivý software (malware) zašifruje soubory v počítači nebo chytrém telefonu oběti a často také na připojených síťových discích. V důsledku toho jsou zašifrovaná data nepoužitelná. Ransomware následně na monitoru nebo displeji zařízení zobrazí žádost o výkupné (často ve formě bitcoinů), bez jehož uhrazení není možné infikované soubory odšifrovat. O tomto dokumentu Tento dokument obsahuje informace, názory a doporučení, jak se před hrozbou obávaného ransomware chránit. Dokument je určen jak IT odborníkům, tak široké veřejnosti. 3

4 10 cenných rad Níže uvádíme nejdůležitější doporučení, kterými by se IT správci a zaměstnanci měli řídit za účelem ochrany před ransomware. 01 Zálohujte, zálohujte, zálohujte!!! I přes všechna níže uvedená doporučení není žádná společnost před ransomware nikdy kompletně chráněna. Nejdůležitější radou proto je provádět pravidelné zálohování a záložní kopie ukládat odděleně od sítě. Jen tak můžete předejít jejich zašifrování. 02 Aktualizujte Ať už se jedná o operační systém nebo o kancelářské aplikace, platí, že nejbezpečnější verzí bývá ta nejnovější. Softwarové společnosti vždy nejdříve aktualizují nejnovější verze svých produktů. Aktualizace starších programů přicházejí na řadu až později nebo vůbec. Proto doporučujeme vždy používat a pravidelně aktualizovat nejnovější verze softwaru. 03 Nenavštěvujte nebezpečné stránky Vyhýbejte se nebezpečným stránkám, protože úplně stačí, že škodlivým softwarem mohou být infikovány i seriózní webové portály. Zvlášť opatrní buďte v případě blogů, které představují nejčastěji infikované stránky. Ke zvýšení bezpečnosti na internetu přispívají firewally s ochrannými mechanismy. Užitečné je také filtrování obsahu, které blokuje napadané stránky. Tyto filtry využívají databáze, jejichž průběžná aktualizace zaručuje rychlou identifikaci a zablokování nově napadených stránek. 04 Pozor na y I přes nasazení spam filtrů si do vaší schránky často najdou cestu y od neznámých odesílatelů. K takové poště vždy přistupujte s nedůvěrou a hlavně nikdy neotevírejte přílohy. Buďte opatrní, protože vynalézavost podvodníků nezná mezí. Ať už se jedná o fiktivní pracovní žádosti nebo o důvěryhodně vypadající korespondenci od finančních institucí, v případě ů je vždy na místě určitá nedůvěra. 05 Chraňte se pomocí hardwaru a softwaru Mezi nejúčinnější ochranné mechanismy patří firewally. Ty v kombinaci s různými softwarovými řešeními nabízejí komplexní ochranu před ransomware a dalšími škodlivými programy od brány až po koncové zařízení (klienta). Mezi standardní funkce moderních firewallů patří kontroly SSL, VPN, aplikační inteligence, detekce a prevence průniků, jednorázové přihlášení a filtry obsahu. Co se týče softwaru, k ochraně přispívají různé antiviry a speciální programy proti ransomware. Programy a firewally musí být zkoordinovány, aby se jejich funkce vzájemně nerušily. 4

5 06 Opatrně s administrátorskými právy 09 Buďte připraveni Pokud je to možné, zaměstnancům neudělujte administrátorská práva. Běžná uživatelská práva znemožňují instalaci mnoha programů, což v konečném důsledku funguje jako ochrana před škodlivým softwarem. Naplánujte, jak budete postupovat, pokud dojde na nejhorší. Co byste měli udělat? Na koho se zaměstnanci mohou obrátit? Co se stane v době mezi napadením systémů a jejich úplnou obnovou? Koordinovaný postup vám pomůže zachovat při těchto krizových situacích klidnou hlavu V případě napadení Používejte blokování skriptů Doporučujeme instalovat blokování skriptů pro váš internetový prohlížeč, které zabrání spouštění škodlivého kódu na webových stránkách. 08 Upozorněte zaměstnance Zaměstnance je vhodné na nebezpečí ransomware upozornit a současně obeznámit s tím, jak mají v případě útoků vyděračů postupovat. Jako materiály můžete použít např. případové studie. Školení zaměstnanců doporučujeme opakovat v pravidelných intervalech. Napadený počítač okamžitě odpojte od všech sítí. Zkontrolujte, jestli jsou napadeny i další počítače v síti. Poté přeinstalujte systém a změňte všechna hesla. Do systému nahrajte záložní kopie. Není od věci případ nahlásit policii. Platit výkupné nedoporučujeme, protože oběť útoku nemá žádnou jistotu, že útočník data skutečně odšifruje. 5

6 Škodlivý software na internetu Internet je požehnáním i prokletím současně. Navzdory rychle rostoucímu počtu útoků ransomware a dalších škodlivých programů neberou mnozí uživatelé nebezpečí číhající na internetu vážně. Trojské koně v bankovních transakcích Představte si jednoduchý převod peněz. Málokdo si při něm uvědomuje potencionálně závažné následky infekce malwarem. Ty však nejsou žádnou vzácností. Sdělovací prostředky jsou dnes plné zpráv o trojských koních, přičemž snem kriminálníků a noční můrou uživatelů jsou ty, které napadají bankovní operace. Hvězdou mezi nimi se v loňském roce stal trojský kůň Tordow napadající elektronické bankovnictví. Trojský kůň Tordow a elektronické bankovnictví Jakmile se Tordow úspěšně usadil v zařízení, dokázal mimo jiné kopírovat hovory a bankovní údaje a načítat a instalovat další malware. Současně hrozilo, že malware bude schopen z mobilních webových prohlížečů číst přístupové údaje včetně hesel do online služeb. Toto je jen jeden z příkladů rozsáhlých škod, které uživatelům mohou hrozit. Škodlivé programy mají mnoho různých podob Vedle trojských koní, které špehují počítač a třetím stranám odesílají citlivé údaje, existuje i celá řada dalších škodlivých programů. Sdělovací prostředky jsou v poslední době plné zpráv o ransomware. Jedná se o trojské koně, které se v mnoha různých podobách používají k zašifrování dat za účelem vydírání uživatele. všech velikostí mají v dnešní době dostupná řešení, která nabízejí spolehlivou ochranu proti ransomware i dalším škodlivým programům. Dobrou zprávou je, že v boji proti těmto online banditům a škodám, které dokáží svým ransomware způsobit, nejste bezbranní. Soukromé i firemní systémy lze před útoky chránit několika způsoby. Rozsáhlou ochranu před potenciálními útoky ransomware poskytují unifikované bezpečnostní brány (USG) vybavené funkcemi, jako jsou např. antispam pro blokování phishingových ů, filtrování obsahu pro zablokování přístupu k podezřelým odkazům, antivir pro ochranu uživatelů před soubory infikovanými malwarem a detekce a prevence průniků (IDP), která odhaluje útočníky a brání jim v převzetí kontroly nad vaším systémem. Antispam blokuje nežádoucí y Antispam na základě reputace filtruje podezřelé y, a představuje tak první linii obrany systému před ransomware. Díky tomu lze potenciálně škodlivé zprávy zablokovat ještě předtím, než je uživatel může otevřít. Ochrana v reálném čase je posílena o automatické sdílení a aktualizaci informací za účelem nepřetržitého monitoringu a hlášení aktivit. Data jsou zašifrována nejen v počítači, ale také v síťových discích a odšifrována až po uhrazení výkupného. Alespoň to tedy slibují útočníci. Odborníci však radí v těchto případech výkupné neplatit Doporučují spíše vytváření pravidelných záloh, které je nutné ukládat mimo počítač a síť. Cenově dostupné firewally s integrovaným obranným systémem Schovávat před výše popsanými riziky hlavu do písku je jednoduše krátkozraké. Soukromí uživatelé i společnosti 6

7 Filtry obsahu chrání internetová připojení Filtrování obsahu stejně jako antispam blokuje útoky ransomware přímo u jejich zdroje. Pokud uživatel náhodou klikne na podezřelý odkaz, daná adresa je ověřena v databázi škodlivých stránek. Databáze jsou průběžně aktualizovány, aby vždy byly o krok před původci kybernetických útoků. Pro boj se šifrovaným internetovým provozem nabízejí brány Zyxel USG a produkty ZyWALL také kontrolu SSL. Služba IDP monitoruje chování sítě Služba detekce a prevence průniků (IDP) funguje jako váš osobní strážce, který nepřetržitě sleduje, jestli se ve vaší síti neděje něco nekalého. Služba IDP od společnosti Zyxel pečlivě odhaluje podezřelé pokusy o připojení a programy, které se chtějí do vašeho systému dostat přes backdoor. Antivir zastaví soubory infikované malwarem Jako třetí linie obrany antivir pomocí SMTP, POP3 a dalších protokolů důsledně kontroluje příchozí soubory na přítomnost červů, trojských koní a malwaru. 7 7

8 Temné vyhlídky Nikdo dnes nezpochybňuje závažnost ransomware. O jak kritický problém se jedná, nastiňují odborníci na tuto problematiku Marc Henauer a Andreas Wisler. Děsivý počet útoků Jen v samotném Německu každou hodinu dojde k 5000 útokům. Ransomware se šíří jako rakovina. Současnou situaci vysvětluje Marc Henauer, vedoucí centra MELANI (Melde- und Analysestelle Informationssicherung), které se zabývá reportováním, analýzou a bezpečností informací. Nové tváře na scéně Marc Henauer poznamenává, že stále rostoucí význam IT pro firemní procesy otevírá nové příležitosti k podvodům, špionáži a vydírání. Role padouchů lačných po zisku z ransomware obsazují nejen organizované kriminální skupiny, ale dokonce i některé státy. Vedle touhy po obohacení mohou za útoky prováděnými pomocí vyděračského softwaru stát také politické cíle a snaha dostat se k know-how. O tom, že německá federální vláda bere ransomware vážně, svědčí celá řada aktivit věnovaných této problematice, jako např. Národní den informovanosti o ransomware, který centrum MELANI naposledy organizovalo 19. května Kávovary i auta cílem je vše Závažnost problému potvrzuje Andreas Wisler, generální ředitel společnosti gosecurity GmbH a odborník na kybernetické útoky. Hacknuté kávovary, paralyzované nemocnice a dokonce i elektromobil Tesla, který nešlo nastartovat, to vše patří mezi cíle útočníků. Stále rozsáhlejší sítě útočníkům otevírají cestu i do zařízení, která mají s běžnými počítači nebo chytrými telefony pramálo společného. Ransomware ohrožuje i malé společnosti Andreas Wisler upozorňuje, že útoky ransomware se neomezují pouze na velké korporace. Jejich cílem stále častěji bývají malé firmy a dokonce i živnostníci. 43 % všech útoků v roce 2015 cílilo na malé a střední společnosti, které se tak staly nejohroženější skupinou. Tento údaj jednoznačně vyvrací názor mnoha ředitelů malých a středních společností, kteří se domnívají, že ransomware ohrožuje pouze velké korporace. Škodlivé blogy Nejnebezpečnějšími z hlediska přítomnosti a šíření škodlivého softwaru nejsou pornostránky, ale blogy. Za zmínku stojí také skutečnost, že dalším oblíbeným lovištěm kybernetických zločinců jsou eshopy. Neradostný závěr Stručně řečeno: šance, že se stanete obětí vyděračů a jejich ransomware, nikdy nebyly tak vysoké. Pro jednotlivce, živnostníky, malé a střední společnosti a dokonce i pro velké korporace tato stále závažnější hrozba znamená především to, že musí být opatrní, chránit se, jak nejlépe to jde, a být připraveni na nejhorší možné situace. Související doporučení najdete na straně 4 tohoto dokumentu. 8

9 Zabezpečení Antivir Špičkový antivir SafeStream II Gateway od společnosti Kaspersky Anti-malware software poskytující ochranu proti virům, trojským koňům, červům, spyware a rogue ware Rychlé skenování poskytuje ochranu v reálném čase a bez omezení velikosti souborů Vysoká úspěšnost detekce bez narušení výkonu Podpora databáze optimalizované pomocí cloudu Antispam Transparentní blokování ů pomocí protokolů SMTP a POP3 Okamžitá ochranná reakce před novými viry Filtr podle IP adres odesílatelů Podpora blacklistů a whitelistů Kontrola aplikací Filtrování obsahu Content Filtering 2.0 Databáze pro dynamické filtrování adres pomocí cloudu Regulace šířky pásma pomocí filtrování Funkce SafeSearch pro filtrování obsahu na sociálních sítích IPv6 GeoIP Blocking slouží ke správě miliard produktů pro internet věcí a mobilních zařízení Funkce GeoIP mapuje a sleduje skutečnou geografickou polohu IP adres v cloudu Detekce a prevence průniků (IDP) Routing a bridge mód Detekuje podezřelé nebo škodlivé aktivity a varuje uživatele Profil ochrany lze přizpůsobit požadavkům uživatele Definovaná pravidla uživatelům Detailní kontrola nejdůležitějších aplikací Identifikace a kontrola chování aplikací Správa šířky pásma, kterou aplikace používá Podpora autentizace uživatelů Statistiky a reporty v reálném čase Kompatibilita výrobků/služeb Bezpečnostní zařízení a služby ZyWALL Produkt USG1900/1100 USG310/210/110 USG60/60W USG40/40W ZyWALL 1100/310/110 Balíček UTM (antivir, IDP, kontrola aplikací, filtrování 1 rok 1 rok 1 rok 1 rok 1 rok obsahu Content Filtering 2.0, antispam) Antivir 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky IDP a kontrola aplikací 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky Filtrování obsahu Content Filtering rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky Antispam 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 1 rok/2 roky 9

10 Co na to odborník Q: Patrick Hirscher, vedoucí školitel ve společnosti Zyxel, v následujícím rozhovoru odpovídá na klíčové otázky týkající se ransomware a nabízí několik užitečných rad z první ruky. Jak vnímáte hrozbu, kterou představuje ransomware? Jedná se o velmi vážnou hrozbu, která neustále roste a kterou se zatím nedaří přesně vyhodnotit. V jedné věci se však ohledně ransomware shodnou všichni, a tou je skutečnost, že v současnosti bohužel neexistuje jednoduché a komplexní řešení všech problémů, které s ransomware souvisejí. IT sektor si je této situace naštěstí vědom, což nám dává naději na rychlé řešení. Prozatím nám ale nezbývá nic jiného, než si se současnou situací poradit a snažit se o maximální bezpečnost dostupných řešení. Q: Jak lze zvýšit povědomí uživatelů o ransomware? V této souvislosti bych chtěl zmínit skutečný případ z naší společnosti, který dokazuje, jak snadno se lze při hodnocení důvěryhodnosti obsahu splést. Třem našim zaměstnancům byla em přeposlána velmi důvěryhodně vypadající, nicméně falešná, žádost. Jeden z nich nakonec neodolal a žádost infikovanou ransomware otevřel, a to navzdory upozornění na přítomnost makra ve Wordu. Antivir instalovaný na klientském zařízení naštěstí dokázal ransomware včas zastavit. V reakci na tento incident jsme uspořádali povinné školení IT bezpečnosti pro všechny zaměstnance, v rámci něhož jsme případ analyzovali a vyvodili z něj závěry. Jsem přesvědčen, že čas věnovaný této aktivitě výrazně přispěje ke správnému zacházení s informacemi z různých zdrojů (elektronické pošty, prohlížeče atd.). Podobná školení zaměstnanců proto hodláme organizovat i v budoucnu. Q: Jak lze ransomware blokovat již v příchozí poště? V první řadě je nutné mít antispamový program s integrovaným antivirem. Útoky ransomware nicméně jsou stále důmyslnější, v důsledku čehož je antispamové programy často nedokáží odhalit ani pomocí nejnovější sandbox technologie. Ve společnosti Zyxel jsou veškeré příchozí y s podezřelými přílohami zablokovány a umístěny do karantény, kde je před odesláním adresátovi nejprve zkontroluje zaměstnanec IT. Uvedená opatření jsou sice značně náročná a zdlouhavá, ale s ohledem na aktuální hrozby také velmi efektivní. Společnost navíc používá speciální schránky pro y z veřejných účtů, které mohou být zdrojem potenciálního nebezpečí. Dalším ochranným opatřením je výrazné omezení práv uživatelů souborového serveru. Případný útok ransomware tak může způsobit jen omezené škody. Q: Jak zajistit co nejlepší imunitu systémů vůči ransomware? Naprostou nezbytností je pravidelné upgradování operačních systémů a aplikací. V této souvislosti klademe maximální důraz na rychlost. Jakmile výrobci vydají nové aktualizace, co nejdříve je implementujeme. S implementací nečekáme až na následující víkend, ale provádíme ji dokonce během pracovních dnů. Jsme přesvědčeni, že tento postup je nezbytný. Současně s tím připravujeme zprávu, abychom si mohli být jisti, že všichni klienti mají k dispozici nejnovější verzi. 10

11 Q: Q: Na co je třeba myslet při zálohování dat? Máte pro IT manažery nějaká další doporučení? V případě úspěšných útoků ransomware lze infikovaná data obnovit pouze z existujících záložních kopií. Po každém úspěšném zálohování musí být data uložena odděleně od firemní sítě. Q: Jaká další bezpečnostní opatření společnost Zyxel plánuje? Používání FW ZLD4.25 v rámci unifikovaných bezpečnostních bran řady ZyWALL USG (s funkcemi GeoIP a SafeSearch) Odinstalování zbytečného softwaru, tzn. poskytování pouze toho softwaru, který je nezbytný Úpravy interních IT směrnic Úpravy přístupových práv na souborovém serveru IT oddělení mohou k bezpečnosti organizací výrazně přispět pomocí různých systémů, které jsou dobře udržovány a pravidelně kontrolovány. Známé případy ztrát nebo škod nicméně dokazují, že negativním následkům šlo často předejít, pokud by se lidé chovali jinak. Z tohoto důvodu bych doporučil pro zaměstnance organizovat pravidelná školení a průběžně je informovat o nových nebezpečích. IT manažeři by zajištění informovanosti zaměstnanců měli věnovat dostatečný čas, protože toto úsilí se jim bohatě vyplatí. 11

12 Corporate Headquarters Zyxel Communications Corp. Tel: Fax: Europe Zyxel Belarus Tel: Fax: Zyxel Poland Tel: Hotline: Fax: Asia Zyxel China (Shanghai) China Headquarters Tel: Fax: Zyxel Middle East FZE Tel: Cell: sales@zyxel-me.com The Americas Zyxel USA North America Headquarters Tel: Fax: sales@zyxel.com Zyxel BeNeLux Tel: Fax: sales@zyxel.nl Zyxel Bulgaria (Bulgaria, Macedonia, Albania, Kosovo) Tel: info@cz.zyxel.com Zyxel Czech Republic Tel: Hotline: Fax: sales@cz.zyxel.com Zyxel Denmark A/S Tel: Fax: sales@zyxel.dk Zyxel Finland Tel: myynti@zyxel.fi Zyxel France Tel: +33 (0) Fax: +33 (0) info@zyxel.fr Zyxel Romania Tel: Fax: info@cz.zyxel.com Zyxel Russia Tel: +7 (495) Fax: +7 (495) info@zyxel.ru Zyxel Slovakia Tel: Hotline: Fax: info@cz.zyxel.com Zyxel Communications ES Ltd Tel: ventas@zyxel.es Zyxel Sweden A/S Tel: Fax: sales@zyxel.se Zyxel Switzerland Tel: +41 (0) Fax: +41 (0) info@zyxel.ch Zyxel China (Beijing) Tel: sales@zyxel.cn Zyxel China (Tianjin) Tel: Fax: sales@zyxel.cn Zyxel India Tel: Fax: info@zyxel.in Zyxel Kazakhstan Tel: Fax: info@zyxel.kz Zyxel Korea Corp. Tel: Fax: sales@zyxel.kr Zyxel Malaysia Tel: Fax: sales@zyxel.com.my Zyxel Philippine sales@zyxel.com.ph Zyxel Singapore Tel: Hotline: Fax: sales@zyxel.com.sg Zyxel Taiwan (Taipei) Tel: Fax: sales_tw@zyxel.com.tw Zyxel Thailand Tel: +66-(0) Fax: +66-(0) info@zyxel.co.th Zyxel Vietnam Tel: (+848) Fax: (+848) sales_vn@zyxel.com.tw Zyxel Brazil Tel: +55 (11) Fax: +55 (11) comercial@zyxel.com.br Zyxel Germany GmbH Tel: +49 (0) Fax: +49 (0) sales@zyxel.de Zyxel Turkey A.S. Tel: Fax: bilgi@zyxel.com.tr Zyxel Hungary & SEE Tel: info@zyxel.hu Zyxel UK Ltd. Tel: +44 (0) Fax: +44 (0) sales@zyxel.co.uk Zyxel Italy Tel: info@zyxel.it Zyxel Norway Tel: Fax: salg@zyxel.no Zyxel Ukraine Tel: Fax: sales@ua.zyxel.com For more product information, visit us on the web at Copyright 2016 Zyxel Communications Corp. All rights reserved. Zyxel, Zyxel logo are registered trademarks of Zyxel Communications Corp. All other brands, product names, or trademarks mentioned are the property of their respective owners. All specifications are subject to change without notice /16