Lunnasohjelmat ovat jatkuvasti otsikoissa, koska tämäntyyppiset verkkohyökkäykset ovat järkyttäviä taktiikoita. Colonial Pipeline -lunnasohjelmatartunnan kaltaiset hyökkäykset johtivat todellisiin vaikutuksiin, jotka vaikuttivat polttoaineen saantiin 50 miljoonalle ihmiselle Yhdysvalloissa.
Toisissa tapauksissa, kuten Aceriin kohdistuneessa lunnasohjelmahyökkäyksessä, lunnasvaatimukset ovat niin huomattavat, Acerin tapauksessa 50 miljoonaa dollaria, että maailma pysähtyy kuuntelemaan.
Ransomware ei kuitenkaan ole vain korkean profiilin yrityksen ongelma. Cyberedge Groupin vuonna 2022 tekemän raportin mukaan 71 prosenttia yrityksistä kärsii kiristyshaittaohjelmista vuonna 2021.
Lunnasohjelmat tuovat tämän ilkeän haittaohjelman takana oleville tietoverkkorikollisjengeille omaisuuden. Chainanalysis arvioi, että lunnasohjelmajengit tienasivat noin 692 miljoonaa dollaria kryptovaluutalla vuonna 2020.
Tietoverkkorikollisuudesta, kuten lunnasohjelmista, saadut suuret korvaukset johtavat todennäköisesti uusiin hyökkäyksiin horisontissa. Miten keskivertoyritys voi siis estää lunnasohjelmahyökkäykset?
Viisi parasta tapaa estää Ransomware-hyökkäykset
Colonial Pipeline -lunnasohjelmahyökkäys alkoi pimeälle verkkosivustolle lähetetyllä vaarantuneella salasanalla. Salasana oli todennäköisesti pimeässä verkossa, koska se oli varastettu phishing-hyökkäyksen aikana. Työntekijätilin hakkerointi on ovi käyttöjärjestelmään, ja phishing-hyökkäykset tarjoavat erittäin tehokkaan tavan päästä käsiksi kirjautumistietoihin käyttämällä haitallisia linkkejä tai liitetiedostoja.
Verizonin vuoden 2021 tietomurtojen tutkimusraportin (Data Breach Investigation Report, DBIR) mukaan 61 prosenttia tietomurroista johtui vaarantuneista tunnistetiedoista. Samassa raportissa kolmasosa näistä tietomurroista liittyy tietojenkalasteluun. Hakkerin ei tarvitse vaarantaa verkon ylläpitäjän tiliä saadakseen etuoikeutetun pääsyn. Jos hakkerilla on työntekijän tunnukset, hän voi kerätä käyttöoikeuksia, kun hän on päässyt verkkoon.
Hakkerit tekevät tämän käyttämällä tekniikkaa, joka tunnetaan nimellä "lateral movement"; hakkeri käyttää muiden ohjelmistojen, kuten Kerberos-protokollan ja Active Directoryn, haavoittuvuuksia laajentaakseen etuoikeuksiaan, kunnes hänellä on linnan avaimet ja hän voi asentaa lunnasohjelmia (ja varastaa tietoja) mielensä mukaan.
Parhaat käytännöt tulevat kuvaan mukaan siinä tapahtumaketjussa, joka johtaa kiristysohjelmatartuntaan. Jos pystyt rakentamaan ennaltaehkäiseviä kerroksia koko hyökkäysketjuun, voit pysäyttää lunnasohjelmahakkerin.
Tässä on viisi parasta tapaa estää lunnasohjelmahyökkäykset:
Paras käytäntö 1: Simuloidut phishing-harjoitukset
Tämä paras käytäntö on peruskerroksesi, ja se voi pysäyttää lunnasohjelmat ennen kuin niistä tulee vaaratilanteita. Phishing-taktiikat kehittyvät yhä kehittyneemmiksi, ja spear-phishing on vieläkin kehittyneempää.
Esimerkiksi monet lunnasohjelmahyökkäykset kohdistuvat tietyntyyppisiin käyttäjiin tai työntekijöihin. Hyökkääjät käyttävät sitten sellaista kieltä, jota tyypillisesti käytetään sähköpostiviestinnässä kyseisen henkilön kanssa, manipuloidakseen hänen käyttäytymistään. Simuloitujen phishing-harjoitusten olisi heijastettava tätä hienostuneisuuden tasoa ja tarjottava roolipohjaisia malleja väärennettyjen roskapostiviestien luomista varten.
Paras käytäntö 2: Kokonaisvaltainen tietoturvatietoisuuskoulutus
Phishing ja sosiaalinen manipulointi mahdollistavat pääsyn verkkoon varastamalla kirjautumistiedot. Turvallisuustietoisuuskoulutus on toinen lunnasohjelmien torjunnan peruskerros, joka antaa työntekijöille käsityksen hyvän turvallisuuskäyttäytymisen tärkeydestä.
Turvallisuushygienia, kuten salasanojen hyvä luominen ja tietojen jakamatta jättäminen sosiaalisessa mediassa, auttaa kehittämään organisaation ympärille ennakoivan kerroksen. Tietoturvakoulutus on tehokkain suojaus lunnasohjelmia vastaan, ja sen avulla voidaan luoda turvallisuuskulttuuri roolikohtaisesti simuloidun tietojenkalastelukoulutuksen avulla.
Paras käytäntö 3: Nollaluottamus ja pienin etuoikeus
Etuoikeutetut käyttäjät voivat olla erittäin tehokas kohde kiristysohjelmahyökkääjille. Näin ollen he houkuttelevat verkkorikollisia kuin mehiläiset hunajaa. Kaksi kolmasosaa yrityksistä pitää etuoikeutettuja käyttäjiä suurimpana sisäpiirin uhkana. Siksi etuoikeutettuja käyttäjiä on tarkasteltava ryhmänä, ja heidät on koulutettava asianmukaisesti phishingin ja sosiaalisen manipuloinnin tyyppeihin, joille he ovat suurimmassa vaarassa.
Lisäksi organisaation on laadittava strategia, jolla käsitellään näitä etuoikeutettuja käyttäjiä ja tilien käyttöoikeuksia. Strategian olisi perustuttava "vähiten etuoikeuksia" -periaatteeseen. Tämä sopii yhteen nollaluottamus-turvamallin kanssa, jossa ei koskaan luoteta ja pääsyyritykset tarkistetaan aina, jotta pääsyä voidaan valvoa tarkalla tasolla.
Nollaluottamus-turvallisuus toimii yhdessä mahdollistavien tekniikoiden, kuten identiteetin ja pääsynhallinnan (IAM), ja näiden toimenpiteiden käynnistävien sääntöjen kanssa, jotta voidaan toteuttaa vankkoja tarkastuksia ja toimenpiteitä, kuten vaatia lisätodennusta arkaluonteisten resurssien käyttämiseksi.
Paras käytäntö 4: Varmista, että etätyöntekijät ovat mukana lunnasohjelmien torjuntastrategiassasi.
Covid-19-pandemia normalisoi hybridi-työmallin, jossa työskentelemme joskus kotoa käsin. Etätyö muuttaa tietoturvadynamiikkaa, mikä saattaa antaa tietoverkkorikollisille etumatkaa. Erityisillä lähestymistavoilla ja toimenpiteillä voidaan kuitenkin estää hakkereita kiristämästä etätyöntekijöitä.
Yksi näistä on turvallisen VPN: n (Virtual Private Network) käyttö. VPN laajentaa verkon suojauksen kotitoimistoon. Suojattu VPN salaa mahdollisesti turvattomien Wi-Fi-yhteyksien kautta lähetetyt tiedot, jotta hakkerit eivät voi siepata esimerkiksi henkilötietoja tai kirjautumistietoja. VPN:n avulla voidaan myös varmistaa, että pääsy yrityssovelluksiin on suojattu.
Turvallisen VPN:n lisäksi kotitoimistot olisi arvioitava mahdollisten tietoturva-aukkojen, kuten turvattomien kotitulostimien, varalta. Lisäksi kotityöntekijöille olisi annettava tehostettua tietoturvatietoisuuskoulutusta, joka vastaa heidän työympäristöään.
Paras käytäntö 5: Suojaa verkko tietoturvastandardin mukaisesti ja tee säännöllisiä arviointeja.
Useat tietoturvakehykset ja -standardit tarjoavat neuvoja vankan tietoturvan toteuttamiseksi ja päätelaitteiden suojaamiseksi.
Kansallinen standardointi- ja teknologiainstituutti (NIST) on julkaissut kyberturvallisuuden kehysprofiilin lunnasohjelmistoriskien hallintaa varten. Se on tällä hetkellä luonnosvaiheessa, mutta se on hyvä lähde neuvojen saamiseksi lunnasohjelmahyökkäysten estämiseksi. Asiakirja perustuu viiteen kyberturvallisuuden viitekehyksen toimintoon (myös NIST:ltä):
- Tunnista
- Suojaa
- Havaitse
- Vastaa
- Palauta
Kehys sisältää viisi parasta käytäntöä lunnasohjelmistoriskin korjaamiseksi.
ISO27001 on kansainvälinen turvallisuusstandardi, joka ohjaa ISMS-järjestelmän (tietoturvallisuuden hallintajärjestelmä) kehittämistä. ISO27001:ssä käytetään kokonaisvaltaista lähestymistapaa tietoturvaan, jossa yhdistyvät ihmiset, prosessit ja teknologia; tämä kehys kattaa koko uhkakentän hyödyntämisen ja sisältää sosiaalisen suunnittelun ja tekniset hyväksikäytöt.
Kehykset ja standardit tarjoavat perustan parhaiden turvallisuuskäytäntöjen soveltamisen varmistamiselle. Niissä on myös ohjeita näiden toimenpiteiden arvioimiseksi, joihin kuuluvat työntekijöiden tietoturvatietoisuus ja turvallisuushygienia.
Ransomware on vakava uhka kaikille yrityksille. Lunnasohjelmia voidaan kuitenkin torjua käyttämällä viittä parasta käytäntöä ja torjumalla järjestelmällisesti tämä merkittävin kyberuhka.
