Облачные провайдеры готовят стратегии борьбы с угрозой ransomware
В "Докладе о преступлениях в сфере криптовалют за 2021 год" фирма Chainalysis сообщила, что в результате пандемии, с 2019 по 2020 гг., суммы, выплачиваемой жертвами атак программ-вымогателей на депозитные адреса, выросли на 311%.
Крупные поставщики облачных услуг больше не могут игнорировать эту тревожную тенденцию: Amazon Web Services (AWS), Microsoft Azure и Google Cloud независимо представили рекомендации наилучших тактик смягчения последствий и оптимальных действий в случае атаки ransomware.
Google Cloud первым из этой тройки в мае определил пять основных принципов защиты от программ-вымогателей: выявление рисков для вашей организации, создание мер безопасности, обнаружение потенциальных инцидентов кибербезопасности, активация программы реагирования и построение стратегии восстановления ключевых активов.
В этой статье директор Google Cloud по информационной безопасности Фил Венейблс (Phil Venables) и вице-президент по безопасности Сунил Потти (Sunil Potti) подчеркнули, что тактика атак кибер-вымогателей совершенствуется и теперь часто включает кражу данных до того, как они будут зашифрованы, с угрозой разглашения конфиденциальных сведений через организованные утечки. Некоторые операторы ransomware дополнительно используют угрозу DDoS, чтобы усилить давление на организации-жертвы и заставить их платить выкуп. DDoS-атаки также могут служить отвлекающим фактором.
В сентябрьском блоге старший архитектор решений AWS Брэд Диспенса (Brad Dispensa) подчеркнул необходимость шифрования в качестве защиты от вышеупомянутых схем двойного вымогательства. "Вы всегда должны активировать шифрование данных и сегментировать свой рабочий процесс так, чтобы ограничивать доступ авторизованных систем и пользователей к ключевому материалу для расшифровки данных", - заявил он.
Диспенса также сформулировал пять упреждающих действий, которые клиенты могут предпринять для защиты своих ресурсов от программ-вымогателей. Наряду с шифрованием среди них фигурируют: настройка восстановления приложений и данных, установка критических серверных исправлений, соответствие общепринятым стандартам безопасности и наличие автоматизированных систем реагирования.
В своей статье на ту же злободневную тему, опубликованной в конце августа, Azure рассказывает, что делать до и во время атаки вымогателей.
"Реальный ущерб часто наносится, когда атака извлекает файлы, оставляя в (корпоративной) сети бэкдоры для будущих вредоносных действий - и эти риски сохраняются вне зависимости от того, уплачен выкуп или нет, - предупреждает главный разработчик контента Azure, Терри Ланфир (Terry Lanfear). - В отличие от ранних форм ransomware, когда все заканчивалось с искоренением вредоносных программ, программы-вымогатели, управляемые человеком, могут продолжать угрожать вашим бизнес-операциям после первого столкновения".