После заражения программой-вымогателем — повышение безопасности вашей инфраструктуры от дальнейшего вторжения
Автор: Филип Черны Опубликовано 15 февраля 2024 г. 0 комментариев
В предыдущем блоге мы изложили основные шаги, которые организации должны предпринять в течение первых двух дней после обнаружения атаки программы-вымогателя. В этой последующей публикации мы обсудим, что организация должна делать после первоначального реагирования, чтобы снизить риски будущих атак. Мы также расскажем, как Progress Flowmon может поддерживать постоянный мониторинг сети, раннее обнаружение атак и сокращение дальнейшего ущерба.
Вебинар: Первые 48 часов реагирования на инциденты с программами-вымогателями
Эти темы обсуждаются более подробно в нашем вебинаре «Первые 48 часов реагирования на инциденты с программами-вымогателями», организованном экспертами по продуктам Flowmon Романом Купкой и Филиппом Черны.
Предотвращение дальнейших заражений
После того, как группа реагирования на инцидент с программой-вымогателем разобралась с инцидентом, крайне важно извлечь уроки и предпринять шаги для снижения риска дальнейших атак.
Для снижения риска последующих атак и будущих Наши проверенные листы данных Свяжитесь с нами Трансформируйте свой бизнес с большим количеством клиентов БД в данные Достигните постоянного роста продаж Наши звездные зарубежные данные, проверенные вручную, обеспечат попадание ваших кампаний на нужную аудиторию. Подводя итог, мы надеемся, что вы на пути к успешному ведению бизнеса, поэтому больше лидов push на лид поможет нам всем расти вместе. ваш стартап быстрее. заражений программой-вымогателем ИТ-отделам необходимо повысить безопасность своей сетевой инфраструктуры. Этого можно достичь с помощью сочетания быстрых действий, долгосрочных изменений в технологических решениях и обновлений инструментов мониторинга сети. Быстрые действия, которые следует выполнить после первоначального реагирования, включают:
Изменение паролей и обновление любых закрытых ключей
Yоторые использовались до атаки, включая пароли и ключи уровня администратора.
Обновление правил системы безопасности для ограничения доступа из любых местоположений и IP-адресов, которые участвовали в атаке. Если возможно, ИТ-отделам следует внедрить черный список, разрешающий важному трафику пересекать брандмауэры.
Выполнение базового анализа и укрепление системы во всех компонентах инфраструктуры, открытых для Интернета, а также любых используемых облачных сервисах и системах аутентификации (например, Active Directory).
Сканирование и удаление любых других вредоносных программ и бэкдоров, к которым могут иметь доступ злоумышленники. Вы можете не получить их все при первоначальном быстром сканировании, но сканирование на предмет распространенных угроз и уязвимостей необходимо.
ИТ-отделы и отделы кибербезопасности должны осуществлять непрерывный мониторинг инфраструктуры наряду с другими средствами сетевой защиты, если они еще не внедрены. Это должно включать непрерывные оценки компрометации, чтобы помочь быстро обнаружить аномалии.
Действия после инцидента
После реализации быстрых побед после атаки следует предпринять дополнительные среднесрочные действия. Некоторые из них включают:
Анализ криминалистической экспертизы — команды Гармонизация данных: основа унифицированных наборов данных могут начать проводить подробный анализ криминалистической экспертизы, используя все доступные данные о сети и системе безопасности. Цель должна заключаться в определении начальной точки компрометации, действий злоумышленника после нарушения безопасности и любых вторичных заражений, помимо программ-вымогателей. Этот поиск должен быть глубже, чем быстрое сканирование на предмет распространенных вредоносных программ, упомянутое ранее.
Полный аудит безопасности — анализ криминалистической экспертизы и глубокое сканирование
Tа предмет других вредоносных установок и бэкдоров должны быть частью тщательного аудита безопасности, охватывающего каждую ИТ-систему в вашей организации. Если вы можете быть взломаны один раз, есть большая вероятность, что некоторые другие системы будут иметь уязвимость, которую можно использовать.
Определение вектора атаки. Техническая группа должна определить основную причину, которая позволила атаке программы-вымогателя, и закрыть все пробелы, которые позволили ей произойти. Эти пробелы могут быть связаны с техникой, процессами или людьми, или любой комбинацией этих трех.
Упростите обработку инцидентов с помощью обнаружения сети Flowmon
Мониторинг сети является неотъемлемой частью постоянной безопасности сети после атаки программы-вымогателя. Сеть часто является пробелом agent email list видимости во многих настройках защиты кибербезопасности.
Межсетевые экраны и системы обнаружения вторжений помо ериметра.
Конечные устройства обычно имеют несколько уровней кибербезопасности. Веб-приложения имеют безопасность на уровне сервера, надежную аутентификацию и запускают межсетевые экраны на балансировщиках нагрузки.
Но кто или что следит за сетью? Должен быть мониторинг, чтобы помочь выявить аномальный трафик.
Возможности Flowmon помогают заполнить Инновации в продуктах требуют сочетания лидерства мысли, рыночных тенденций и отзывов клиентов, сбалансированных с пользовательским опытом, масштабируемостью и простотой использования. В основе лидерства мысли лежит совместная программа исследований и разработок, которая объединяет экспертов по продуктам и старших архитекторов Progress, а также выдающихся исследователей из ведущих академических институтов по всему миру. Вместе эта объединенная команда работает над концепциями Horizon 3, проверяя гипотезы и создавая прототипы и доказательства концепции. В этом блоге Павел Минарик, вице-президент по технологиям, возглавляющий группу экспериментальных разработок Progress, подводит итоги нашей текущей деятельности по исследованиям и разработкам.пробелы видимости сети. Система обнаружения аномалий Flowmon (ADS) дополняет защиту, предоставляемую брандмауэрами и безопасностью конечных точек. Flowmon ADS обеспечивает более глубокий обзор происходящего, отслеживая сетевой трафик. Это позволяет улучшить обнаружение любой странной активности в сети, например, нарушения безопасности конечных точек.
Flowmon ADS использует интеллектуальный механизм
Tбнаружения, который использует алгоритмы анализа поведения для обнаружения аномалий, скрытых в сетевом трафике. В свою очередь, ИТ-отделы и сетевые команды оснащены для выявления вредоносного поведения, обнаружения атак на критически важные приложения и выявления утечек данных и индикаторов компрометации.
Flowmon помогает вам выполнять нормативные требования
Новые правила кибербезопасности и обновления существующих правил занимают видное место в повестке дня законодателей в ЕС, США и других странах по всему миру
