جلوگیری از باج افزار بسیار دشوار است، عمدتاً به این دلیل که مهاجمان در قفل کردن یک شبکه بسیار قبل از اینکه کسی در یک سازمان حتی یک یادداشت باج را ببیند مهارت دارند.
در بسیاری از حملات، بدافزار یک محموله رمزگذاری را با انتشار خودکار ترکیب میکند.
این ترکیب قدرتمند را میتوان با استفاده از تکنیکهای مختلف حمله ارائه کرد که عاملان تهدید را قادر میسازد تا با استفاده از اعتبارنامههای بخطر افتاده، اقدامات امنیتی تحویل و اجرای را دور بزنند.
سپس باج افزار قادر است به سرعت داده های یک نقطه پایانی را پس از دیگری رمزگذاری کند- تا زمانیکه یک شبکه فلج شود.
در چند سال گذشته، پیچیدگی رو به رشد صنعت باجافزار، بازیگران خاص و متخصصی را بوجود آورده است.
بعنوان مثال، Hades (نوعی از WastedLocker) تقریباً بطور انحصاری سازمانهای بزرگ را هدف قرار میدهد- عملی که بعنوان «شکار بازی بزرگ» شناخته میشود.
با توجه به این خطر، سخت است باور کنیم که بسیاری از سازمانها عملاً با باز گذاشتن پورتهای پروتکل دسکتاپ از راه دور (RDP) به اینترنت، حملات را دعوت میکنند.
اگرچه RDP از رمزگذاری مدرن استفاده میکند، اما فاقد احراز هویت چندعاملی (MFA) در حالت پیشفرض است و سازمانها را در معرض حمله قرار میدهد.
یکی دیگر از نقاط ضعف خود ایجاد شده، شکست گسترده در اعمال وصلههای امنیتی برای محافظت در برابر آسیبپذیریها و مواجهههای رایج (CVE) است.
نحوه جلوگیری و مهار حملات باج افزار
اولین گام در جلوگیری از باج افزار، ایجاد یک استراتژی آمادگی دفاع سایبری قوی برای توقف یا حداقل مهار یک حمله از همان ابتدا است.
با اینحال، بدلیل تعدد بردارهای دسترسی و تنوع تکنیکها، هیچ گلوله جادویی وجود ندارد. سازمانها باید اقدامات پیشگیرانه زیر را در نظر بگیرند:
امنیت مرتبط با کارکنان
استقرار مدیریت هویت و دسترسی
برای کاهش گسترش باجافزار، استفاده از اصول حداقل امتیاز و اعتماد صفر با استفاده از مدیریت هویت و دسترسی (IAM) ضروری است.
این باید شامل احراز هویت چندعاملی باشد که به کاهش خطر انتشار باج افزار درصورت به خطر افتادن حساب کمک میکند.
تمامی این قابلیتها سطح حمله را کاهش داده و دسترسی غیرمجاز را محدود میکند.
ارائه آموزش آگاهی از امنیت
برای کاهش اثربخشی فیشینگ، که بزرگترین بردار حمله مورد استفاده توسط باجافزار است، سازمانها باید به کارمندان خود در مورد نحوه شناسایی ایمیلهای مخرب آموزش دهند- و این کار را بطور مداوم انجام دهند.
از قدرت توسعه مستمر مهارتهای سایبری استفاده کنید
برای اطلاع از آخرین پیشرفتهای باجافزار، متخصصان امنیت سایبری باید بطور مداوم یاد بگیرند و آموزش ببینند تا بتوانند به اندازه مهاجمان مطلع شوند.
مؤثرترین راه برای توسعه مستمر مهارتهای سایبری، انجام این کار در یک محیط کنترل شده از طریق تمرینهای عملی و تعاملی با استفاده از زیرساختهای واقعی فناوری اطلاعات، ابزارها و بدافزارها است.
این رویکرد کارکنان IT را قادر میسازد تا در جهت جلوگیری از باج افزار مهارتهای خود را تقویت کنند.
یاد بگیرند که چگونه تهدیدهای دنیای واقعی را با موفقیت شناسایی کرده و به آنها پاسخ دهند و مجرمان را از برنده شدن در بازی باجافزار بازدارند.
کاهش سطح حمله
Security Orchestration Automation and Response (SOAR)
اتوماسیون سازماندهی امنیتی و پاسخ (SOAR) مجموعهای از نرمافزار سازگار است که با جمعآوری اطلاعات رویدادهای امنیتی و استفاده از اطلاعات تهدید برای شناسایی تهدیدها و پاسخ سریع به آنها با حداقل کمک انسانی، به خودکارسازی پاسخ حادثه کمک میکند.
Next-Generation Firewall (NGFW)
فایروال نسل بعدی (NGFW)، با استفاده از تجزیه و تحلیل پیچیده ترافیک شبکه و اشیاء دانلود شده، میتواند گونه های شناخته شده بدافزار را از طریق امضاها و اکتشافات شناسایی کند.
Endpoint Detection and Response (EDR)
تشخیص و پاسخ نقطه پایانی (EDR)، تشخیص نقطه پایانی مبتنی بر رفتار و امضا برای متوقف کردن تهدیدات بدافزار شناخته شده و جلوگیری از باج افزار اساسی است.
EDR از application execution controls برای جلوگیری از اجرای بدافزار روی دستگاه استفاده میکند.
Threat Intelligence Platform
پلتفرم اطلاعاتی تهدید (TIP) میتواند نقشی حیاتی در توانمندسازی تیمهای امنیتی برای دفاع فعالانه در برابر باجافزار ایفا کند، زیرا اطلاعات بلادرنگ درباره تهدیدات فعلی را ارائه میدهد.
یکی دیگر از مزایای TIP، قابلیتهای اتوماسیون و machine learning است که به استراتژی های واکنش به حادثه کمک میکند.
Secure Web Gateway (SWG)
دروازه وب امن (SWG)، دید عمیقی را در ترافیک متصل به اینترنت برای شناسایی نمونههای بدافزار شناخته شده و ترافیک فرمان و کنترل (C2) فراهم میکند.
معماری بخش امنیت
یک راه عالی برای مهار تهدیدات (جلوگیری از باج افزار) در یک منطقه معین، اجرای بخشبندی شبکه و تقسیمبندی خرد است.
چنین تقسیم بندی از حرکت جانبی تهدیدات یا حملات در دیتاسنتر، کلودها و شبکه های دانشگاه جلوگیری میکند.
در حالت ایده آل، هر تهدیدی در بخشی از شبکه قرار میگیرد، بنابراین تاثیر باج افزار کاهش می یابد.
محافظت در برابر باج افزار دشوار است، اما غیرممکن نیست. سازمانها با داشتن استراتژی دفاع سایبری مناسب، ابزارها و کنترلهای امنیتی، میتوانند از خود در برابر این حملات دفاع کنند.
سلاح کلیدی در هر سازمان، دانش است، که باید بطور مداوم و گسترده از طریق توسعه مهارتهای عملی برای کارکنان IT پرورش یابد.