Sophos: Cele mai bune practici de firewall pentru a bloca atacurile tip ransomware

Sophos: Cele mai bune practici de firewall pentru a bloca atacurile tip ransomware

Prezentare Sophos – partener LASTING System pe zona securității informatice & Petre Ilinca, Strategic Business Developer at LASTING System

Majoritatea utilizatorilor de puncte finale digitale știu că un atac ransomware este acel atac ce preia controlul asupra dispozitivului, criptează datele utilizatorilor și îi șantajează pe aceștia pentru a plăti o anumită sumă în schimbul „eliberării” telefonului, calculatorului, tabletei, etc.

Deoarece numărul acestor atacuri a crescut în ultimii ani, atacatorii țintind tot mai mult instituții, pe lângă utilizatorii individuali, este extrem de important de știut cum să prevenim astfel de atacuri. Când vorbim de incidente de securitate informatică, întotdeauna precauția este mai de dorit decât remedierea. În cazul atacurilor de tip ransomware, abordarea preventivă are o valoare deosebită – au existat cazuri în care nici după achitarea sumei cerute, atacatorii nu au deblocat dispozitivele pe care le controlau, aceasta pe lângă faptul că întreaga activitate ce depindea de aceste terminale a fost blocată complet, iar datele lăsate la dispoziția infractorilor.

Să vedem așadar ce recomandă Sophos în materie de practici de evitare a atacurilor ransomware la nivel de firewall.

Sophos: cum acţionează atacurile ransomware recente la adresa rețelelor companiilor

Wanna, Petya și alte atacuri tip ransomware au afectat nenumărate organizații. Împreună, aceste două atacuri au infectat sute de mii de computere din întreaga lume, răspândindu-se prin exploatarea unei vulnerabilități în protocolul de partajare a fișierelor de rețea din Server Message Block-ul Microsoft (SMB). Acest protocol este omniprezent în rețelele corporative și permite computerelor să se descopere reciproc în scopul de a partaja fișiere și a folosi resurse comune, ca de exemplu imprimantele. El poate fi utilizat și pentru partajarea de fișiere în afara firewall-ului, dacă porturile necesare (TCP 139 și/sau 445) sunt deschise sau redirecționate pe firewall.

În general, fiecare sistem din rețea, fie că rulează Windows, Linux, Mac OS sau un alt OS, se bazează pe o varietate de servicii pentru funcționalitatea rețelei. Uneori se dovedește că aceste servicii au vulnerabilități nesesizate anterior, ce pot duce la consecințe neplăcute dacă sunt exploatate în mod malign.

Marii producători de software încearcă să fie cu un pas înaintea atacatorilor, însă acest lucru nu este întotdeauna posibil. De exemplu, în cazul exploit-ului EternalBlue, Microsoft a lansat rapid un patch pentru această vulnerabilitate, odată descoperită, dar hackerii au profitat de faptul că implementarea unui patch într-o organizație mare ia timp, și a reușit să deruleze atacurile înainte ca multe sisteme să fi fost actualizate.

Chiar și în organizațiile cele mai diligente, există întotdeauna un decalaj între descoperirea vulnerabilității și implementarea patch-urilor, motiv pentru care este extrem de important să aveți o tehnologie de ultimă generație care să vă protejeze rețeaua și punctele finale de acest tip de atacuri.

Deci, cum vă puteți proteja compania în primul rând împotriva pătrunderii acestor atacuri în rețea? Și dacă un atac reușește să pătrundă cumva în rețeaua dvs., cum îl puteți împiedica să se răspândească sau să se miște lateral, infectând și alte sisteme?

 

Blocarea exploit-urilor la nivel de rețea

Sistemul de prevenire a intruziunilor (En: Intrusion Prevention System, IPS) este o componentă critică de securitate a oricărui firewall de tip next-gen, deoarece efectuează o inspecție profundă a pachetelor de trafic din rețea pentru a identifica exploit-urile de vulnerabilități și a le bloca înainte de a ajunge la o gazdă țintă. IPS caută șabloane sau anomalii ale codului care indică fie un anumit exploit, fie o vulnerabilitate-țintă mai mare.
Ca și în cazul EternalBlue menționat supra, aceste atacuri încearcă de obicei să trimită inputuri maligne către o aplicație sau serviciu gazdă, pentru a le compromite și pentru a obține un anumit nivel de control, ca să poată executa în cele din urmă codul de atac.

 

Blocarea executării codului ransomware provenind din fișiere

În timp ce Wanna și Petya se răspândesc precum viermii informatici (En: worms), multe variante de ransomware utilizează scheme de inginerie socială și acționează prin atacuri prin e-mail de tip phishing, spam sau descărcări de pe web – intrând astfel în rețea prin mijloace mai convenționale. Aceste atacuri pornesc de multe ori ca un malware iscusit disimulat în fișiere comune, cum ar fi documente Microsoft Office, PDF-uri sau executabile, sau prin actualizări ale unor aplicații legitime populare. Hackerii au devenit foarte eficienți în a face aceste fișiere să pară benigne sau în a disimula perfect malware-ul, pentru a trece de detectarea antivirus tradițională bazată pe semnături.

Ca urmare a acestui nou tip de malware localizat în interiorul fișierelor, tehnologia sandboxing a devenit un strat de securitate esențial în perimetrul rețelei dvs. Vestea bună este că sandboxing-ul bazat pe cloud nu necesită, de obicei, niciun fel de hardware sau software suplimentar – pur și simplu identifică fișierele suspecte la nivelul de poartă de acces (gateway), și le trimite într-o infrastructură sigură de sandboxing din cloud, pentru a neutraliza conținutul activ și a monitoriza comportamentul fișierului în timp. Această tehnologie poate fi extrem de eficientă în blocarea unor amenințări necunoscute, cum ar fi noile atacuri de tip ransomware, înainte de a pătrunde în rețeaua dvs.

 

Cele mai bune practici pentru configurarea firewall-ului și a rețelei

Este important să rețineți că IPS, sandbox-ul și toate celelalte tipuri de protecție puse la dispoziție de către firewall sunt eficiente numai împotriva traficului filtrat de acesta, pentru care politicile de securitate cibernetică se aplică prin intermediul regulilor ce reglementează acest trafic. Prin urmare, luați în considerare bunele practici ce urmează, pentru a preveni răspândirii atacurilor tip viermi informatici în rețea:

• Asigurați-vă că aveți protecția adecvată, ce include un motor next-gen firewall IPS de înaltă performanță și o soluție de sandboxing;
• Reduceți cât mai mult posibil zona expusă atacurilor, prin revizuirea repetată și amănunțită a tuturor regulilor de redirecționare a porturilor, pentru a elimina posibilitatea de a fi deschise porturi neesențiale. Oricând se poate, utilizați un VPN pentru accesarea resurselor interne din exterior, mai degrabă decât metoda de redirecționare a porturilor;
• Asigurați-vă că toate porturile deschise au o protecție IPS adecvată, prin verificarea regulilor ce guvernează acest tip de trafic;
• Aplicați sandboxing-ul pentru traficul din sursele web și e-mail, pentru ca toate fișierele active pasibile de suspiciuni să fie analizate în mod corespunzător contra malware-ului, înainte de a avea acces în rețeaua dvs.;
• Reduceți riscul de mișcare laterală în rețea, aplicând segmentarea LAN-urilor în zone mai mici, izolate, sau în zone VLAN securizate și conectate între ele prin firewall. Asigurați-vă că aplicați politici adecvate regulilor IPS care guvernează traficul ce trece prin aceste segmente LAN pentru a împiedica exploit-urile, viermii informatici și boții să se răspândească între ele.
• Izolați automat sistemele infectate. Când o infecție se manifestă, este important ca soluția dvs. de securitate IT să poată identifica rapid sistemele compromise și să le izoleze automat, până când sunt curățate (fie automat, fie prin intervenție manuală).

Ce aduce Sophos XG Firewall în protecția anti-ransomware

Sophos XG Firewall include toate tehnologiile necesare pentru a vă ajuta să vă protejați organizația de cele mai noi tipuri de atac ransomware, precum Wanna și Petya.

XG Firewall este dotat cu unul dintre cele mai performante și mai eficiente motoare IPS de pe piață, fapt recent confirmat și de Laboratoarele NSS. Modelele noastre IPS sunt actualizate frecvent pentru a detecta cele mai recente vulnerabilități iar în cazul lui Wanna și Petya, au primit actualizări cu mult înainte de răspândirea lor pe scară largă. După valul de prime atacuri, am adăugat șabloane de detecție suplimentare pentru proteja de atacurile unor noi variante.

XG Firewall oferă, de asemenea, protecție excelentă împotriva răspândirii atacurilor în rețeaua dvs., dar, ca oricărui produs de securitate, trebuie să i se ofere ocazia de a acționa corect. Implementarea și configurarea corespunzătoare sunt cheia reducerii suprafeței de atac și a minimizării riscului și a posibilităților de propagare.
XG Firewall oferă instrumente flexibile și ușor de folosit pentru operațiunile de segmentare, cum ar fi zonarea și crearea de VLAN-uri – pentru a asigura LAN-ul dvs. contra riscurilor și pentru a reduce posibilitatea de mișcare laterală a atacurilor.

 

Sophos Synchronized Security – o protecție fără egal

Ransomware-ul, botnet-urile și alte atacuri avansate adesea își croiesc drum prin întreaga infrastructură IT.
XG Firewall face parte din ecosistemul Sophos Synchronized Security, în care produsele de securitate lucrează activ împreună pentru a opri atacurile avansate. Rezultatul constă într-o protecție considerabil mai rapidă și mai bună – și într-o gestionare mai simplă a securității IT.

De exemplu, XG Firewall funcționează împreună cu Sophos Intercept X, soluția noastră anti-ransomware și anti-exploatare dovedită a opri ransomware-ul la nivel de punct final. Cele două instrumente partajează informațiile despre amenințări, statusul și starea sistemului în timp real prin sistemul nostru de securitate Heartbeat ™, care răspunde automat atacurilor – identificând și izolând instantaneu sistemele infectate din rețea – până când acestea sunt curățate.

în plus, nu trebuie să înlocuiți nimic de la zero pentru a beneficia de toate calitățile XG Firewall, Intercept X și Security Synchronized. Puteți instala XG Firewall în paralel cu firewall-ul deja existent, la fel și Intercept X alături de clientul antivirus de pe desktop. Împreună, ele oferă o protecție de neegalat împotriva ransomware-ului și a altor atacuri avansate.

Sophos vă pune la dispoziție o protecție next gen, potrivită în confruntarea cu amenințările viitorului!

*Material preluat și adaptat de la Sophos

No Comments

Post a Comment

Contact