Сигурно сте прочитале стотици написи за тоа како да ја заштитите мрежата од секоја закана која што постои. Но, понекогаш, и покрај сите преземени мерки, се случува некаква инфекција. Сега е време да мислите со ладна глава и да преземете брзи и ефективни чекори. Вашиот одговор ќе одреди дали инцидентот ќе стане страшен проблем за компанијата или нешто сосема минорно.
Додека закрепнувате, не заборавајте да го документирате секој чекор за да бидете транспарентни пред своите колеги, но и пред светот. И, се разбира, обидете се да ги зачувате сите докази за нападот, за во иднина полесно да можете да лоцирате други малициозни алатки кои го таргетираат вашиот систем. Тоа значи да ги зачувате сите траги од злонамерниот софтвер кои ќе ви се најдат при идните истраги.
Дел 1: Лоцирај и изолирај
Вашиот прв чекор е да одредите до кој степен е проширена инфекцијата. Дали злонамерниот софтвер се проширил низ целата мрежа? Дали се проширил на повеќе од една канцеларија? Почнете со пронаоѓање на инфицираните компјутери и мрежни сегменти од корпоративната инфраструктура и веднаш изолирајте ги од остатокот од мрежата, со цел да се ограничи контаминацијата.
Ако компанијата нема многу компјутери, почнете со антивирусот, EDR и firewall. Дополнително, во ограничен број случаи, можете да одите од машина до машина и да ги проверувате. Ако имате многу компјутери, анализирајте ги настаните и логирањата во SIEM системот. Тоа не значи дека подоцна нема да мора да ги проверите поединечно, но е добар почеток за да добиете претстава каква е ситуацијата.
Откако ќе се изолираат инфицираните машини од мрежата, направете резервни копии на дисковите и ако е возможно, оставете ги тие компјутери настрана додека не заврши истрагата. Ако не можете да си дозволите да не работат, направете резервни копии и зачувајте ја меморијата за истрагата.
Дел 2: Анализирај и дејствувај
Откако сте ги провериле уредите, имате листа со машини кои имаат дискови со енкриптирани документи, плус слики на тие дискови. Тие се дисконектирани од мрежата и повеќе не претставуваат закана. Можете веднаш да почнете со процесот на закрепнување, но најпрвин погрижете се остатокот од мрежата да ви биде безбеден.
Сега е време да се анализира злонамерниот софтвер, да се открие како влегол и кои групи вообичаено го користат, односно да почнете со процесот на ловење на заканите. Злонамерниот софтвер не се појавува тукутака и мора да има dropper, RAT, Trojanloader или нешто што го инсталирало. Вие мора да го најдете тоа нешто.
За да го направите тоа спроведете внатрешна истрага. Прочепкајте по логирањата за да откриете кој компјутер бил првиот заразен, зошто тој компјутер бил погоден прв и зошто не се одбранил.
Врз основа на резултатите од истражувањето ќе ја исчистите мрежата од напредниот злонамерен софтвер и ако е возможно, ќе ги рестартирате бизнис операциите. Потоа откријте што би го стопирало тој софтвер. Што недостигало кај софтверот за безбедност. Пополнете ги тие празнини.
Потоа, предупредете ги вработените за тоа што се случило, информирајте ги како да забележат и како да избегнуваат замки и најавете им дека ќе следуваат и соодветни обуки.
Потоа, навреме инсталирајте надградби и подобрувања на софтверот. Менаџирањето со надградбите и подобрувањата е приоритет за ИТ администраторите затоа што злонамерниот софтвер често ги наоѓа слабите точки за кои веќе постојат подобрувања на заштитата.
Дел 3: Исчисти и реставрирај
До овој момент сте изменаџирале со заканата, како и со пропустот од каде што влегла заканата. Сега насочете го вниманието кој компјутерите кои не се во функција. Ако повеќе не ви требаат за истрага, форматирајте ги драјвовите и реставрирајте ги податоците од последнo зачуваната резервна копија.
Ако, пак, немате таква копија, обидете се да ги дешифрирате драјвовите. Почнете со страницата No Ransom, каде што можеби веќе постои програма за дешифрирање на злонамерниот софтвер. Ако не постои, контактирајте го провајдерот на вашата сајбер заштита ако може да ви помогне. Во секој случај, не ги бришете енкриптираните документи. Нови програми за дешифрирање се појавуваат секој ден, па можеби уште утре ќе се појави таа што ви треба.
Каква и да е ситуацијата, не плаќајте за таква програма. Сигурно со тоа ќе спонзорирате некоја криминална активност, а шансите да ви ги дешифрираат податоците се многу мали. Освен што можат да ви ги блокираат податоците, напаѓачите со злонамерен софтвер можат да ги украдат и да ве уценуваат. Ако им платите на таквите сајбер криминалци, ќе ви побараат повеќе пари. Во некои случаи, само неколку месеци откако сте им платиле, тие се враќаат пак и бараат повеќе пари. Ако не им платите, се закануваат дека ќе ги објават сите податоци кои ги украле првиот пат.
Затоа, сметајте дека се што ви украле е јавна тајна и подгответе се да се справите со протекувањето информации. Порано или подоцна ќе мора отворено да зборувате за инцидентот со вработените, акционерите, владините агенции и најверојатно со новинарите. Oтвореноста и искреноста се битни и ќе се ценат.
Дел 4: Преземи превентивни мерки
Секој голем сајбер инцидент секогаш е голем проблем, а превенцијата е најдобриот лек. Подгответе се однапред за тоа што може да тргне на лошо:
- Инсталирајте добра заштита на сите крајни точки во мрежата (вклучувајќи ги и смартфоните);
- Сегментирајте ја мрежата и опремете ја со добро конфигурирани огнени ѕидови. Уште подобро, користете NGFW (next-generation firewall) или сличен производ кој автоматски добива податоци за нови закани;
- Освен антивирусот, најдете и моќни алатки за ловење закани;
- Инсталирајте SIEM систем (за големи компании) за моментално предупредување;
- Обучете ги вработените за сајбер безбедноста со интерактивни сесии.
Интегрирани решенија за комплетна слоевита кибер заштита за вашиот бизнис, побарајте во КАБТЕЛ, www.kabtel.mk, 02/3 103 230.
