ИБ-эксперт Шутов: необходимо регулярно делать копии важных данных
В современном виртуальном пространстве безопасность данных критически важна, особенно в контексте угроз, связанных с программами-вымогателями. Они могут блокировать доступ к информации на устройстве, требуя плату за снятие блокировки. Некоторые виды ransomware угрожают утечкой конфиденциальной информации, если выкуп (как правило, в криптовалюте) не будет уплачен. Для эффективной защиты от таких атак необходимо соблюдать рекомендации для минимизации риска утраты данных и безопасности цифровой инфраструктуры, рассказал "Газете.Ru" Василий Шутов, преподаватель кафедры КБ-1 "Защита информации РТУ МИРЭА.
"Во-первых, необходимо регулярно делать копии важных данных. Их нужно хранить не только в облаке, но и на внешних устройствах — USB-накопителях или внешних жёстких дисках. Все внешние накопители в идеале должны использоваться только внутри корпоративной сети и не покидать территорию предприятия. Полную антивирусную проверку присоединяемых устройств следует запускать при каждом их подключении", — объяснил он.
Во-вторых, сотрудники любого предприятия должны быть осведомлены о киберугрозах. Своевременное обучение выявлению подозрительных писем и сообщений значительно снизит риск случайного заражения вирусами всей рабочей сети организации. Следует настроить операционную систему так, чтобы были видны полные имена файлов и их расширения (например, .exe или .doc) во избежание случайного открытия вредоносных программ.
"В-третьих, современные фильтры, настроенные вручную, помогают отсеивать подозрительные письма и уменьшают риск заражения. Полезно установить протоколы действий всех почтовых ящиков даже в закрытой рабочей сети, согласно которым исполняемые файлы (например, .exe, которые могут быть лаунчерами вирусов, а также *.scr, *.bat, *.vbs), по умолчанию отправлялись бы в папку "Спам", — подчеркнул эксперт.
Важно ограничивать права доступа к любым файлам и папкам системы. Даже если в ОС попадает программа-вымогатель, она может зашифровать только те файлы, к которым у есть доступ. Критически важны и своевременные обновления любого программного обеспечения — зачастую в них есть исправления для уязвимостей, используемых хакерами в текущий период времени.
"Как правило, на предприятиях, где есть угроза потери критически важной или секретной информации, обновления операционной системы и антивирусного ПО осуществляется вручную, без подключения локальной сети к всемирной паутине", — добавил Шутов.
Наиболее адекватной в связи с реальной угрозой ransomware для коммерческой и иной служебной информации видится политика "нулевого доверия" (Zero Trust Policy). "Ее ключевые постулаты таковы: предоставление доступа к тому или иному сегменту ОС только после многофакторной аутентификации; разумная жесткая минимизация прав пользователей и устройств; постоянная оценка доступа на основе контекста (поведение пользователя, местоположение и тип устройства); мониторинг и логирование всех действий в сети для своевременного выявления угроз. Благодаря такой политике администрирования, если то или иное устройство в локальной сети заражено ransomware, заранее установленная минимизация привилегий и сегментация сети не позволят вредоносному ПО распространиться на другие устройства", — рассказал специалист.
Постоянный автоматический мониторинг событий в рабочей сети, настроенный системным администратором предприятия, может выявить подозрительные действия, связанные с попытками шифрования данных, и быстро отключить скомпрометированные учетные записи.
Для защиты данных, хранящихся в облаке на стороннем сервере в мировой сети Интернет, полезно использовать специальные сервисы, которые обеспечивают к ним безопасный доступ и многоуровневую аутентификацию.
"Не только системные администраторы организации, но и коллектив, готовый своевременно реагировать на кибератаки, может значительно уменьшить ущерб или быстро восстановить работу поврежденной системы. Проверка новых файлов в изолированной среде ("песочнице") помогает предотвратить распространение вирусов. Обязательна и блокировка всплывающей рекламы и нежелательных сайтов, которая, как минимум, убережет кэш устройств от нежелательного контента", — добавил Шутов.
Наконец, максимальное ограничение использования личных устройств для авторизации в корпоративной сети также является важным шагом для предотвращения кибератак. Принятие этих мер поможет защитить конфиденциальные данные и коммерческую или иную не подлежащую разглашению информацию, резюмировал Шутов.