Cara melindungi dan memulihkan bisnis Anda dari ransomware

AS sedang bersiap-siap untuk dampak penuh dari epidemi ransomware global berdasarkan strain malware Wanna Decryptor. Penting untuk melindungi bisnis dan data Anda dari ancaman yang menyebar cepat ini, tetapi begitu kami melewatinya, Anda harus ingat bahwa Wanna Decryptor hanyalah contoh paling berisik dari masalah ransomware.

Ada tiga hal yang perlu diketahui tentang ransomware: menakutkan, tumbuh cepat, dan ini bisnis besar. Menurut Internet Crime Complaint Center (IC3) FBI, lebih dari 992 keluhan terkait CryptoWall diterima antara April 2014 dan Juni 2015, mengakibatkan kerugian lebih dari $ 18 juta. Keberhasilan ganas itu tercermin dalam tingkat pertumbuhan ransomware dengan Infoblox DNS Threat Index, melaporkan peningkatan 35 kali lipat dalam domain baru yang dibuat untuk ransomware pada kuartal pertama 2016 (dibandingkan dengan kuartal keempat 2015).

Secara umum, ransomware menjatuhkan dinding terenkripsi antara bisnis dan data internal serta aplikasi yang perlu dioperasikan oleh bisnis. Tetapi serangan ini bisa menjadi jauh lebih serius daripada sekadar tidak dapat diaksesnya data. Jika Anda tidak siap, maka bisnis Anda dapat terhenti.

Tanyakan saja ke Pusat Medis Presbyterian Hollywood. Jauh sebelum Wanna Decryptor, rumah sakit belajar pelajaran yang menyakitkan ketika staf kehilangan akses ke PC mereka selama wabah ransomware awal tahun 2016. Rumah sakit membayar tebusan $ 17.000 setelah karyawan menghabiskan 10 hari mengandalkan mesin faks dan kertas grafik. Atau tanyakan kepada Departemen Kepolisian Tewksbury. Pada bulan April 2015, mereka membayar uang tebusan untuk mendapatkan kembali akses ke catatan penangkapan dan insiden terenkripsi.

Bagaimana Bisnis Dapat Terinfeksi?

Jika ada hikmahnya bagi Wanna Decryptor di tingkat mana pun, maka itu berfungsi untuk membuktikan, tanpa keraguan, bahwa ancaman yang diberikan oleh ransomware adalah nyata. Tidak ada bisnis atau karyawan yang kebal dari serangan ransomware potensial. Penting untuk memahami bagaimana ransomware menginfeksi komputer sebelum membahas bagaimana melindungi bisnis Anda dari itu atau bagaimana merespons jika Anda dikompromikan. Memahami asal dan cara infeksi memberikan wawasan untuk tetap aman.

Ransomware biasanya berasal dari salah satu dari dua sumber: situs web yang dikompromikan dan lampiran email. Situs web yang sah yang telah disusupi dapat meng-host kit eksploit yang menginfeksi komputer Anda, biasanya melalui eksploit browser. Metodologi yang sama dapat digunakan oleh situs web phishing. Unduhan drive-by menginstal ransomware dan mulai mengenkripsi file Anda.

Dalam kasus lampiran email berbahaya, pengguna diperdaya untuk membuka lampiran, yang kemudian menginstal ransomware. Ini bisa sesederhana pesan email palsu dengan lampiran yang dapat dieksekusi, file Microsoft Word yang terinfeksi yang menipu Anda untuk mengaktifkan makro, atau file dengan ekstensi berganti nama seperti file yang berakhiran "PDF" tetapi sebenarnya merupakan file EXE (sebuah executable).

"Dalam kedua kasus ini, beberapa jenis rekayasa sosial digunakan untuk memikat pengguna agar menginfeksi diri mereka sendiri, " kata Luis Corron, Direktur Teknis PandaLabs di Panda Security. "Ini memberikan peluang besar bagi bisnis untuk mendidik pengguna mereka untuk menghindari risiko ini, tetapi, sayangnya, sebagian besar bisnis kecil mengabaikan hal ini dan kehilangan kesempatan untuk menyelamatkan diri mereka sendiri dari sakit kepala yang besar."

Saat ini, tidak ada peluru perak untuk memastikan keamanan organisasi Anda dari ransomware. Tetapi ada lima langkah yang harus diambil oleh setiap bisnis yang dapat secara drastis mengurangi peluang mereka untuk terinfeksi - dan juga meringankan rasa sakit jika serangan berhasil.

Mempersiapkan

Komponen utama untuk mempersiapkan serangan ransomware adalah mengembangkan strategi cadangan yang kuat dan membuat cadangan rutin. "Cadangan yang kuat adalah komponen kunci dari strategi anti-ransomware, " kata Philip Casesa, Strategi Pengembangan Produk di ISC2, sebuah organisasi nirlaba global yang mensertifikasi profesional keamanan. "Setelah file Anda dienkripsi, satu-satunya pilihan Anda adalah mengembalikan cadangan. Opsi Anda yang lain adalah membayar tebusan atau kehilangan data."

"Anda harus memiliki semacam cadangan, solusi cadangan nyata dari aset yang Anda tentukan sangat penting untuk bisnis Anda, " lanjut Casesa. "Pencadangan waktu nyata atau sinkronisasi file hanya akan mencadangkan file terenkripsi Anda. Anda memerlukan proses pencadangan yang kuat di mana Anda dapat memutar kembali beberapa hari, dan memulihkan aplikasi dan data lokal dan server."

Panda Security's Corrons menawarkan peringatan lebih lanjut: cadangan "sangat penting jika pertahanan Anda gagal tetapi pastikan untuk menghapus ransomware sepenuhnya sebelum mengembalikan cadangan. Di PandaLabs, kami telah melihat ransomware mengenkripsi file cadangan."

Strategi yang baik untuk dipertimbangkan adalah solusi cadangan berjenjang atau terdistribusi yang menyimpan beberapa salinan file cadangan di lokasi yang berbeda dan di media yang berbeda (sehingga simpul yang terinfeksi tidak segera memiliki akses ke repositori file saat ini dan arsip cadangan). Solusi semacam itu tersedia dari beberapa vendor cadangan online bisnis kecil hingga menengah (SMB) dan juga sebagian besar vendor Disaster-Recovery-as-a-Service (DRaaS).

Mencegah

Seperti disebutkan sebelumnya, pendidikan pengguna adalah senjata ampuh namun sering diabaikan dalam gudang senjata Anda melawan ransomware. Latih pengguna untuk mengenali teknik rekayasa sosial, menghindari clickbait, dan tidak pernah membuka lampiran dari seseorang yang tidak mereka kenal. Lampiran dari orang yang mereka kenal harus dilihat dan dibuka dengan hati-hati.

"Memahami bagaimana penyebaran ransomware mengidentifikasi perilaku pengguna yang perlu dimodifikasi untuk melindungi bisnis Anda, " kata Casesa. "Lampiran email adalah risiko nomor satu untuk infeksi, unduhan drive-by adalah nomor dua, dan tautan jahat dalam email adalah nomor tiga. Manusia memainkan faktor penting dalam terinfeksi dengan ransomware."

Melatih pengguna untuk mempertimbangkan ancaman ransomware lebih mudah daripada yang Anda pikirkan, terutama untuk UKM. Tentu saja, ini bisa berbentuk seminar tradisional yang berlangsung lama, tetapi juga bisa berupa serangkaian makan siang kelompok di mana IT mendapat kesempatan untuk memberi tahu pengguna melalui diskusi interaktif - dengan harga murah beberapa pizza. Anda bahkan dapat mempertimbangkan untuk menyewa konsultan keamanan luar untuk memberikan pelatihan, dengan beberapa video tambahan atau contoh dunia nyata.

Melindungi

Tempat terbaik untuk mulai melindungi SMB Anda dari ransomware adalah dengan Strategi Mitigasi Empat Top ini: memasukkan daftar putih aplikasi, menambal aplikasi, menambal sistem operasi (OS), dan meminimalkan hak administratif. Casesa dengan cepat menunjukkan bahwa "empat kontrol ini menangani 85 persen atau lebih dari ancaman malware."

Untuk UKM yang masih mengandalkan antivirus PC individu (AV) untuk keamanan, pindah ke solusi keamanan titik akhir yang dikelola memungkinkan TI memusatkan keamanan untuk seluruh organisasi dan mengambil kendali penuh atas langkah-langkah ini. Itu secara drastis dapat meningkatkan efektivitas AV dan anti-malware.

Solusi mana pun yang Anda pilih, pastikan itu mencakup perlindungan berbasis perilaku. Ketiga ahli kami sepakat bahwa anti-malware berbasis tanda tangan tidak efektif terhadap ancaman perangkat lunak modern.

Jangan Membayar

Jika Anda belum siap dan melindungi diri Anda dari ransomware dan Anda terinfeksi, maka mungkin tergoda untuk membayar uang tebusan. Namun, ketika ditanya apakah ini langkah bijak, ketiga pakar kami dipersatukan dalam tanggapan mereka. Corron dengan cepat menunjukkan bahwa "membayar itu berisiko. Sekarang Anda pasti kehilangan uang Anda dan mungkin file Anda kembali tidak terenkripsi." Lagi pula, mengapa penjahat menjadi terhormat setelah Anda membayarnya?

Dengan membayar penjahat, Anda memberi mereka insentif dan sarana untuk mengembangkan ransomware yang lebih baik. "Jika Anda membayar, Anda menjadikannya jauh lebih buruk bagi orang lain, " kata Casesa. "Orang jahat menggunakan uang Anda untuk mengembangkan malware nastier dan menginfeksi orang lain."

Melindungi korban di masa depan mungkin tidak menjadi perhatian utama ketika Anda mencoba menjalankan bisnis dengan data yang disandera, tetapi lihat saja dari sudut pandang ini: bahwa korban berikutnya bisa menjadi Anda semua lagi, kali ini berjuang lebih keras lagi malware efektif yang Anda bantu bayar untuk dikembangkan.

Casesa menunjukkan bahwa "dengan membayar uang tebusan, Anda sekarang telah menjadi sasaran utama para penjahat karena mereka tahu Anda akan membayar." Anda menjadi, dalam bahasa penjualan, pemimpin yang berkualitas. Sama seperti tidak ada kehormatan di antara pencuri, tidak ada jaminan bahwa ransomware akan sepenuhnya dihapus. Penjahat memiliki akses ke mesin Anda, dan dapat tidak mengenkripsi file Anda dan meninggalkan malware untuk memantau aktivitas Anda dan mencuri informasi tambahan.

Tetap Produktif

Jika kerusakan yang disebabkan oleh ransomware adalah tentang gangguan pada bisnis Anda, lalu mengapa tidak mengambil langkah-langkah untuk meningkatkan kelangsungan bisnis dengan pindah ke cloud? "Tingkat perlindungan dan keamanan keseluruhan yang Anda dapatkan dari cloud jauh lebih besar daripada apa yang mampu dilakukan usaha kecil, " kata Brandon Dunlap, Global CISO of Black & Veatch. "Penyedia cloud memiliki pemindaian malware, otentikasi yang disempurnakan, dan banyak perlindungan lain yang membuat kemungkinan mereka menderita serangan ransomware sangat rendah."

Paling tidak, pindahkan server email ke cloud. Dunlap menunjukkan bahwa "email adalah vektor serangan besar untuk ransomware. Pindahkan itu ke cloud di mana penyedia bundel beberapa kontrol keamanan seperti pemindaian malware dan DLP ke dalam layanan." Lapisan keamanan tambahan, seperti reputasi situs berbasis proxy dan pemindaian lalu lintas, dapat ditambahkan melalui banyak layanan cloud dan selanjutnya dapat membatasi paparan Anda ke ransomware.

Dunlap sangat antusias tentang perlindungan yang ditawarkan cloud terhadap ransomware. "Kami berada pada momen yang luar biasa dalam sejarah teknologi dengan banyak solusi gesekan rendah untuk banyak masalah yang dihadapi oleh bisnis kecil, " kata Dunlap. "Ini membuat bisnis kecil lebih gesit dari perspektif TI."

Jika mesin lokal Anda terinfeksi ransomware, bahkan tidak masalah jika data Anda ada di cloud. Bersihkan mesin lokal Anda, gambar ulang itu, sambungkan kembali ke layanan cloud Anda, dan Anda kembali dalam bisnis.

Jangan Tunggu Sepatu untuk Drop

Ini bukan salah satu situasi di mana pendekatan menunggu dan melihat adalah taktik terbaik Anda. Ingin Decryptor jelas menunjukkan bahwa ransomware ada di luar sana; itu tumbuh dalam lompatan dan batas raksasa, baik dalam kecanggihan dan popularitas orang jahat - dan itu pasti mencari Anda. Bahkan setelah ancaman saat ini berakhir, sangat penting bahwa Anda mengambil langkah-langkah untuk melindungi data dan titik akhir dari infeksi.

Buat cadangan reguler, latih karyawan untuk menghindari infeksi, tambalan aplikasi dan OS, batasi hak administrator, dan jalankan perangkat lunak anti-malware berbasis non-signature. Jika Anda mengikuti saran ini, maka Anda dapat mencegah semua kecuali infeksi yang paling berdarah (dan yang kemungkinan tidak menargetkan SMB). Dalam kasus di mana serangan melewati pertahanan Anda, miliki rencana yang jelas dan teruji untuk TI untuk membersihkan infeksi, memulihkan cadangan, dan melanjutkan operasi bisnis normal.

Jika Anda tidak mengikuti praktik terbaik ini dan Anda terinfeksi, maka ketahuilah bahwa membayar uang tebusan tidak disertai jaminan, membuat Anda memenuhi syarat sebagai pengisap bagi para penjahat, dan memberi mereka cara untuk mengembangkan ransomware yang bahkan lebih berbahaya (dan insentifnya) untuk menggunakannya pada Anda sesering mungkin). Jangan menjadi korban. Alih-alih, luangkan waktu sekarang untuk menuai manfaatnya nanti: mempersiapkan, mencegah, melindungi, dan tetap produktif.