Агентство по кибербезопасности и защите инфраструктуры (CISA) впервые с 2020 года выпустило обновленную версию руководства #StopRansomware в партнерстве с ФБР, АНБ и Межгосударственным центром обмена и анализа информации (MS-ISAC).
Обновленное руководство отражает уроки, извлеченные за последние несколько лет, и впервые добавляет ФБР и АНБ в качестве соавторов. Инструкции предлагают рекомендации по предотвращению первоначального вторжения, а также шаги по защите данных с помощью облачных резервных копий.
В CISA заявили, что агентства обновили руководство для того, чтобы помочь организациям снизить распространение и влияние программ-вымогателей.
По словам MS-ISAC, активность программ-вымогателей развивалась с 2020 года, поскольку ряд ключевых изменений привел к снижению порога входа для злоумышленников, особенно это касается RaaS-моделей (“вымогательское ПО как услуга”).
Руководство также включает тактические изменения, внесенные злоумышленниками за последние годы, в том числе более широкое использование методов двойного вымогательства и кражи данных в атаках программ-вымогателей.
#StopRansomware включает в себя исчерпывающий список передовых методов защиты от атак, в том числе такие рекомендации:
- Поддерживать автономные зашифрованные резервные копии важных данных и регулярно проверять их в моделировании аварийного восстановления. Сюда входит “золотой образ” критически важных систем, включая предварительно настроенные ОС и связанные с ними приложения;
- Разработать, поддерживать и практиковать базовый план реагирования на киберинциденты, в частности, атаки программ-вымогателей и утечки данных. Также необходимо разработать план коммуникаций, включая уведомления госорганов об инциденте.
Руководство также включает комплекс мер для предотвращения и смягчения последствий атак программ-вымогателей, в том числе:
- Проведение регулярного сканирования для выявления и устранения уязвимостей, особенно на устройствах, подключенных к Интернету;
- Регулярное обновление ПО и ОС до последних версий;
- Проверка того, что все локальные, облачные, мобильные и личные устройства правильно настроены, а функции безопасности включены;
- Внедрение устойчивой к фишингу многофакторной аутентификации (МФА);
- Установка политики блокировки после определенного количества неудачных попыток входа.
Руководство предлагает создать иллюстрированные руководства, которые предоставляют подробную информацию о потоках данных внутри организации. Это поможет ИБ-специалистам понять, на каких системах следует сосредоточиться во время атаки. Руководство также содержит контактную информацию федеральных агентств, с которыми можно связаться во время атаки.