Борьба с Ransomware на примере продукции UseGate

Ransomware (они же — программы-вымогатели или шифровальщики) — один из самых опасных видов вредоносного ПО, с которым приходится сталкиваться бизнесу и другим организациям. Так называются программы, которые тем или иным образом проникают на компьютер (обычно через заражённый файл, который пользователь запускает сам, считая, что это что-то другое), после чего шифрует его содержимое и требует за расшифровку выкуп. При этом в подавляющем большинстве случаев используются такие протоколы шифрования, что восстановление данных без соответствующего ключа попросту невозможно.

Частные лица обычно становятся жертвами программ-вымогателей скорее случайно, куда более желанными целями для злоумышленников является крупный бизнес и другие организации, для которых потеря критических данных может иметь катастрофические последствия. Поэтому важность эффективной защиты от подобных угроз трудно переоценить — однако она должна быть комплексной, потому что заражение может происходить по разным сценариям, и система защиты должна иметь возможность противодействовать ему на разных этапах.

Противодействие ransomware на примере UserGate

Программы-вымогатели – хороший пример того, почему в идеале система безопасности должна состоять не из множества отдельных продуктов разного происхождения, а единой экосистемы, где каждый элемент подогнан под все остальные, обменивается с ними информацией и взаимно координирует с ними свои действия. В качестве примера может служить UserGate SUMMA, которая, среди всего прочего, помогает бороться и с шифровальщиками.

Делается это за счёт того, что она анализирует подозрительное поведение, характерное для ransomware на всех этапах атаки – от первоначального заражения до шифрования данных и дальнейшего распространения по сети.

  • Модуль Mail Security вычисляет и блокирует фишинговые письма, а если пользователь переходит по ссылке на опасный ресурс, то прекращает соединение и с ним;
  • Есть возможность выявлять bruteforce-атаки с перебором паролей для доступа к удалённому рабочему столу и перекрывать соединения со стороны злоумышленника;
  • Блокировка доступа к автоматически генерируемым доменным именам. Как правило, хакеры создают массу таких имён, чтобы иметь возможность менять их и поддерживать бесперебойный контакт с заражёнными машинами. Сетевой экран UserGate NGFW способен распознавать такие доменные имена и перекрывать доступ к ним, не позволяя совершить удалённое развёртывание;
  • Система сбора логов отслеживает подозрительное поведение, попытки добавления в автозагрузку, обращение к сомнительным исполняемым файлам и прочие потенциально опасные действия;
  • Сегментация сети позволяет предотвратить дальнейшее распространение заражения;
  • Попытки использования уязвимостей в веб-приложениях купируются посредством методики virtual patching.

С учётом того, что массовость и изобретательность ransomware постоянно растёт, будет расти и спрос на решения по борьбе с ним. А следовательно будет расти и потребность в специалистах, способных работать с соответствующими системами кибербезопасности.