Что такое ransomware (программа-вымогатель, шифровальщик)?
Ransomware (от слова «ransom» — выкуп) — специализированное вредоносное ПО, осуществляющее «захват» конечной станции, как правило, с помощью шифрования документов и данных с целью требования денежных средств за «расшифровывание».
Чем опасен ransomware для бизнеса
Нарушение работоспособности устройства и потеря доступа к данным.
Шифрование важных документов и баз данных (часто без возможности восстановления).
Кража данных сотрудников и клиентов компании и их несанкционированное использование.
Защита от ransomware с помощью UserGate SUMMA по цепочке Kill Chain
Защита от ransomware — задача не одного конкретного инструмента. Для противодействия шифровальщикам и сохранения устойчивости бизнес-процессов необходима комплексная работа всех компонентов экосистемы безопасности и ее грамотная эксплуатация.
Шаг 1 — заражение
- Фишинг.
UserGate NGFW с контент-анализом и модулем Mail Secuirty распознает фишинговые письма и блокирует их. При переходе по фишинговым ссылкам модуль «Прокси» в UserGate NGFW блокирует посещение вредоносных ресурсов.
- Веб-уязвимости.
Модуль «WAF» в UserGate NGFW блокирует попытки эксплуатации уязвимостей в веб-приложениях, осуществляя защиту вида «virtual patching».
- RDP Brute Force.
С помощью модуля «SIEM» в UserGate LogAnalyzer, используя предустановленные правила корреляции событий, можно обнаруживать попытки перебора паролей на RDP и оповестить специалиста об инциденте. В связке с UserGate Management Center можно реализовать обратную связь до шлюзов безопасности UserGate NGFW и заблокировать соединения от атакующей стороны.
Шаг 2 — установление связи с командными пунктами
- DGA (Domain Generation Algorithm) — автоматически генерируемые доменные имена. Как правило, злоумышленники создают их в огромном количестве, чтобы оперативно менять их для поддержания связи с зараженными устройствами. Механики анализа содержимого в UserGate NGFW позволяют определять такие домены, а значит есть возможность применять политики блокирования в отношении запросов к таким доменам. Таким образом, даже если ransomware проник на устройство каким-либо другим незаметным путем, то установить связь с командным пунктом все равно не удастся, и соответственно не удастся провести развертывание и закрепление на конечной станции.
- Удаленное развертывание — вся нестандартная активность на конечном устройстве и попытки связи с подозрительными серверами отслеживаются с помощью UserGate Client и UserGate NGFW, а информация передается на UserGate LogAnalyzer для комплексной аналитики разрозненных событий, позволяющих скоррелировать их в инцидент и выявить эту активность.
Шаг 3 — эксплуатация
- Нестандартное поведение, попытки записи в автозагрузку, запуск подозрительных исполняемых файлов — все это можно отследить с помощью UserGate Log Analyzer на основе данных экосистемы UserGate SUMMA и прочих источников.
- С помощью модуля IRP в составе UserGate LogAnalyzer можно работать с этими инцидентами.
Шаг 4 — распространение
- Распространение по сети может быть заранее ограничено за счет правильной сегментации с помощью UserGate NGFW.
- Попытки эксплуатации уязвимостей инфраструктуры будут замечены модулем IPS в составе UserGate NGFW.
- Попытки brute force будут замечены с помощью SIEM в UserGate LogAnalyzer.
Таким образом, экосистема безопасности UserGate SUMMA помогает на каждом этапе цепочки Kill Chain, предотвращая угрозу и не давая ей проэксплуатироваться и распространиться.
Заинтересовали решения UserGate для защиты от программ-вымогателей?
Отправьте заявку на демодоступ с помощью формы ниже.
