Kako ublažiti napade ransomwarea kojima upravljaju ljudi: Infografika

U ranijim danima, ako je netko morao oteti vaše računalo, to je obično bilo moguće tako da se dočepa vašeg računala fizičkim prisustvom ili korištenjem daljinskog pristupa. Iako je svijet napredovao s automatizacijom, računalna sigurnost je pooštrena, jedna stvar koja se nije promijenila su ljudske pogreške. Tu se pojavljuju napadi ransomwarea kojima upravljaju ljudi(Human-operated Ransomware Attacks) . To su ručno izrađeni napadi koji pronalaze ranjivost ili pogrešno konfiguriranu sigurnost na računalu i dobivaju pristup. Microsoft je došao do iscrpne studije slučaja koja zaključuje da IT administrator može značajno ublažiti ove napade Ransomwarea(Ransomware attacks) kojima upravljaju ljudi .

ublažiti napade Ransomwarea kojima upravljaju ljudi

Ublažavanje napada ransomwarea kojima upravljaju ljudi(Human-operated Ransomware Attacks)

Prema Microsoftu(Microsoft) , najbolji način za ublažavanje ovih vrsta ransomwarea i ručno izrađenih kampanja je blokiranje svake nepotrebne komunikacije između krajnjih točaka. Također je jednako važno slijediti najbolje prakse za higijenu vjerodajnica kao što je višefaktorska provjera autentičnosti(Multi-Factor Authentication) , praćenje pokušaja grube sile, instaliranje najnovijih sigurnosnih ažuriranja i još mnogo toga. Ovdje je kompletan popis obrambenih mjera koje treba poduzeti:

  • Obavezno primijenite postavke konfiguracije koje preporučuje(recommended configuration settings) Microsoft kako biste zaštitili računala povezana s internetom.
  • Defender ATP nudi upravljanje prijetnjama i ranjivostima(threat and vulnerability management) . Možete ga koristiti za redovitu reviziju strojeva radi otkrivanja ranjivosti, pogrešnih konfiguracija i sumnjivih aktivnosti.
  • Koristite MFA pristupnik(MFA gateway) kao što je Azure višefaktorska provjera autentičnosti(Azure Multi-Factor Authentication) ( MFA ) ili omogućite provjeru autentičnosti na razini mreže ( NLA ).
  • Ponudite najmanje privilegije računima(least-privilege to accounts) i omogućite pristup samo kada je to potrebno. Svaki račun s pristupom na razini administratora na razini cijele domene trebao bi biti na minimumu ili nuli.
  • Alati poput Local Administrator Password Solution ( LAPS ) mogu konfigurirati jedinstvene nasumične lozinke za administratorske račune. Možete ih pohraniti u Active Directory (AD) i zaštititi pomoću ACL -a .
  • Pratite pokušaje grube sile. Trebali biste biti uznemireni, osobito ako postoji mnogo neuspjelih pokušaja provjere autentičnosti. (failed authentication attempts. )Filtrirajte(Filter) pomoću ID-a događaja 4625(ID 4625) da biste pronašli takve unose.
  • Napadači obično brišu zapisnike sigurnosnih događaja i PowerShell operativni dnevnik(Security Event logs and PowerShell Operational log) kako bi uklonili sve svoje tragove. Microsoft Defender ATP generira ID događaja 1102(Event ID 1102) kada se to dogodi.
  • Uključite značajke zaštite od neovlaštenog pristupa(Tamper protection)(Tamper protection) kako biste spriječili napadače da isključe sigurnosne značajke.
  • Istražite(Investigate) događaj ID 4624 kako biste pronašli gdje se prijavljuju računi s visokim privilegijama. Ako uđu u mrežu ili računalo koje je ugroženo, onda to može biti značajnija prijetnja.
  • Uključite zaštitu isporučenu u oblaku(Turn on cloud-delivered protection) i automatsko slanje uzorka na Windows Defender Antivirus . Štiti vas od nepoznatih prijetnji.
  • Uključite pravila smanjenja površine napada. Uz to, omogućite pravila koja blokiraju krađu vjerodajnica, aktivnost ransomwarea i sumnjivu upotrebu PsExec i WMI .
  • Uključite  AMSI za Office VBA  ako imate Office 365.
  • Spriječite RPC(Prevent RPC) i SMB komunikaciju među krajnjim točkama kad god je to moguće.

Pročitajte(Read) : Zaštita od ransomwarea u sustavu Windows 10(Ransomware protection in Windows 10) .

Microsoft je postavio studiju slučaja Wadhrama , Doppelpaymer(Ryuk) , Ryuk(Doppelpaymer) , Samas , REvil

  • Wadhrama se isporučuje grubom silom do poslužitelja koji imaju udaljenu radnu površinu(Remote Desktop) . Obično otkrivaju nezakrpljene sustave i koriste otkrivene ranjivosti za dobivanje početnog pristupa ili podizanje privilegija.
  • Doppelpaymer se ručno širi putem ugroženih mreža koristeći ukradene vjerodajnice za privilegirane račune. Zato je bitno slijediti preporučene postavke konfiguracije za sva računala.
  • Ryuk distribuira teret putem e-pošte ( Trickboat ) prevarivši krajnjeg korisnika o nečem drugom. Nedavno su hakeri upotrijebili strah od koronavirusa kako bi prevarili krajnjeg korisnika. Jedan od njih također je uspio isporučiti Emotet teret .

Zajednička stvar svakog od njih(common thing about each of them) je da su izgrađene na temelju situacija. Čini se da izvode taktiku gorila gdje prelaze s jednog stroja na drugi stroj kako bi isporučili teret. Bitno je da IT administratori ne samo da prate tekući napad, čak i ako je u malim razmjerima, i educiraju zaposlenike o tome kako mogu pomoći u zaštiti mreže.

Nadam se da će svi IT administratori moći slijediti prijedlog i pobrinuti se da ublaže napade Ransomwarea kojima upravljaju ljudi.(Ransomware)

Povezano čitanje(Related read) : Što učiniti nakon Ransomware napada na vaše Windows računalo?(What to do after a Ransomware attack on your Windows computer?)



About the author

U poslu je sve u stvaranju vrijednosti za vaše klijente i kupce. Usredotočen sam na pružanje uputa korak po korak koje pomažu mojim čitateljima da izvuku najviše iz svog hardvera i softvera, koristeći Microsoft Office. Moje vještine uključuju instalaciju tipkovnice i upravljačkih programa, kao i podršku za Microsoft Office. Uz svoje dugogodišnje iskustvo u industriji, mogu vam pomoći da pokrijete sve hardverske ili softverske potrebe koje možda imate.



Related posts