Первые 48 часов реагирования на инциденты с программами-вымогателями
Автор: Филип Черны Опубликовано 7 февраля 2024 г. 0 комментариев
Первоначальный ответ на атаку программ-вымогателей
Tмеет решающее значение для определения ущерба с точки зрения простоя, затрат, потери данных и репутации компании. Чем раньше вы обнаружите активность, связанную с программами-вымогателями, тем раньше вы сможете замедлить ее распространение. После этого вы сможете предпринять корректирующие действия, чтобы значительно уменьшить последствия атаки.
В этом блоге мы опишем основные шаги, которые организации должны предпринять в течение первых 48 часов после обнаружения заражения программами-вымогателями. Мы дадим ссылку на недавний вебинар Progress Flowmon по этой теме, в котором также обсуждается, как национальные рекомендации и нормативные базы, такие как NIST и NIS2, предоставляют руководство по киберреагированию. В вебинаре описывается, как решения Flowmon могут помочь в раннем обнаружении и реагировании на атаки программ-вымогателей.
Программы-вымогатели по-прежнему представляют угрозу
Прежде чем мы углубимся, стоит Мы также размещаем нашу базу данных Telegram раз в неделю! На основании: мы хотели бы, чтобы это было с большим Список пользователей базы данных Telegram размером или объемом. Поскольку мы вводим всю информацию вручную, список наших телефонных телеграмм полон, чтобы получить 100% точные результаты, но он действителен до августа 2024 года. Наша библиотека телефонных номеров требует ручного круглосуточного труда. подчеркнуть, что программы-вымогатели по-прежнему представляют серьезную угрозу для любой организации. Поэтому разумно сказать, что дело не в том, подвергнетесь ли вы атаке программ-вымогателей, а в том, когда.
Сообщаемые или зафиксированные атаки программ-вымогателей каждый
Tод по-прежнему достигают сотен миллионов. Для зараженных организаций средние затраты на восстановление могут составлять миллионы долларов на выплату выкупа и расходы на восстановление операционной деятельности. Даже если организация не платит выкуп, затраты на восстановление все равно будут значительными.
Помимо прямого воздействия шифрования данных
Tиберпреступники, стоящие за этими атаками, используют свой незаконный доступ для копирования и кражи данных перед запуском шифрования. В отчете Verizon Data Breach Investigations за 2023 год сделан вывод о том, что 25% всех утечек данных были частью более масштабной атаки программ-вымогателей.
Идеальным сценарием является значительное сокращение заражений программами-вымогателями. Но в реальном мире люди совершают ошибки, а злоумышленники используют системы с уязвимостями нулевого дня. Учитывая это, крайне важно развертывать решения, способные обнаруживать аномалии на ранней стадии.
Первые 48 часов после обнаружения атаки
Как только вы обнаружите атаку программы-вымогателя на свою сеть, есть действия, которые следует предпринять немедленно (в течение двух часов), быстро (в течение шести часов) и непрерывно в течение первых 24–48 часов.
В течение первых 48 часов общение между внутренними и внешними заинтересованными сторонами имеет жизненно важное значение для реагирования. Группа технического реагирования должна общаться, чтобы все знали свои обязанности и то, что происходит. Должны быть назначены контактные лица между внутренней командой и любыми внешними поставщиками услуг или поставщиков услуг кибербезопасности, с которыми они работают.
Кроме того, эта команда должна общаться с руководством на всех уровнях организации, чтобы персонал понимал ситуацию и прогнозируемое время возврата к обычным операциям.
Сотрудники также должны знать, что они не могут обсуждать происходящее с кем-либо за пределами своей группы в организации, и особенно с кем-либо извне. Сотрудники должны понимать, что они могут передать любые вопросы о том, что происходит, руководству или PR-отделу компании для решения. Управление репутацией имеет решающее значение для долгосрочного процесса восстановления после атаки программы-вымогателя.2023 год был для нас знаменательным как с точки зрения количества завершенных проектов, так и с точки зрения новых проектных предложений, которые мы подали на оценку. В 2024 году мы уже начали два новых проекта, а два других проекта находятся на этапе оценки, результаты которой еще не опубликованы.
Немедленный ответ: первые два часа
Вот три самых важных шага, которые ваша ИТ-команда должна предпринять в течение первых двух часов после обнаружения активности программы-вымогателя. Не ждите два часа, чтобы сделать это, и выполните эти шаги как можно скорее.
Отключите резервные серверы и хранилища от сети: современные программы-вымогатели заражают и шифруют данные, ища наиболее важные установки программного обеспечения для резервного копирования. Преступники делают это, чтобы увеличить вероятность того, что организация заплатит выкуп, чтобы вернуть свои зашифрованные данные.
Отключите зараженные части сети: это кажется очевидн Стратегии массовых СМС-рассылок ым, но этот шаг необходимо подчеркнуть. Отключите и изолируйте все части сети, в которых проявилась активность программ-вымогателей. Это должно включать отдельные устройства, подсети, местоположения или, в зависимости от уровня заражения, целые сети.
Выполнение этого на ранних этапах и как
Mожно ближе к начальным точкам заражения помогает снизить распространение и ущерб.
Блокировка доступа к облачным сервисам: программы-вымогатели могут исходить от служб или инфраструктуры, развернутых вами на облачных платформах, таких как AWS, Azure и GCP, и распространяться на них. Вам необходимо нем agent email list едленно отключить доступ к этим облачным сервисам, чтобы минимизировать распространение программ-вымогателей.
Быстрое выполнение: следующие шесть часов
После трех немедленных действий, описанных выше, ваша ИТ-команда должна выполнить следующие действия в течение первых шести часов.
Проверка целостности резервных копий:
Tоследние резервные копии могут стать окончательной защитной сеткой для восстановления после атаки программ-вымогателей. Если системы зашифрованы, и вы решили не платить выкуп, потребуется восстановление систем из резервных копий. Проверьте, возможно ли это, и введите эту информацию в процесс восстановления после атаки. Многие организации, которые платят выкуп
