Компоненты защиты от шифровальщиков-вымогателей

Smart-Soft Team

22.05.2019

7753

Вирусы-шифровальщики, ставшие одной из главных проблем информационной безопасности 2017 года, продолжают наносить ущерб организациям и в 2019 году.

Из недавних инцидентов можно отметить:

Кибератаку вымогателя LockerGoga на норвежского производителя алюминия и алюминиевых изделий Norsk Hydro в марте 2019 года, в результате которой работа внутренней сети компании была парализована, остановилось производство и офисные операции.
Кибератаку вымогателя на компьютерные системы округа Джексон в штате Джорджия в начале марта 2019. Вирус проник во внутреннюю сеть округа и привел к отключению большинства ИТ-систем местного правительства за исключением его веб-сайта и системы экстренной помощи 911. Чтобы избавиться от вируса-вымогателя и восстановить доступ к своим ИТ-системам власти выплатили киберпреступникам $400 000.
Кибератаку на полицию Великобритании. Вирусы-вымогатели поразили электронные системы полиции 9 марта 2019 года. Резервные копии были удалены, файлы и электронная почта оказались зашифрованы и недоступны.

Главная опасность вымогателей в том, что они парализуют работу компаний, блокируя данные, а в некоторых случаях полностью уничтожая их.

Основные способы проникновения вымогателей-шифровальщиков в системы — это бесфайловые атаки, эксплуатация уязвимостей в необновлённых операционных системах, фишинговые рассылки по электронной почте, вредоносные сайты и сменные носители информации.

Многообразие способов атак, которые применяют вымогатели, требует организации комплексной системы защиты. Обязательными компонентами такой защиты являются:

Межсетевой экран — он позволяет контролировать входящий и исходящий сетевой трафик в соответствии с заданными правилами. Это исключает возможность эксплуатации уязвимостей сетевых сервисов, а также утечки информации наружу.
Система обнаружения и предотвращения вторжений. Она позволяет своевременно выявить и заблокировать вредоносную активность проникшего в сеть вирусного ПО.
Контентная фильтрация веб-трафика, которая защищает компьютеры пользователей от загрузки вредоносных плагинов и расширений.
Антивирус — для защиты компьютеров и серверов от заражения.

Многим компаниям сложно выстроить полноценную защиту, потому что они пытаются сделать это, совмещая продукты разных производителей по принципу «сумма лучшего даёт лучший результат». Они приобретают самый популярный антивирус, самый раскрученный межсетевой экран и самую дорогую систему IDS/IPS, но не получают желаемого: продукты разных производителей конфликтуют между собой.

Понимая ситуацию, разработчики систем защиты предлагают интегрированные решения, закрывающие самые распространённые векторы атак. В числе таких продуктов – универсальный шлюз безопасности Traffic Inspector Next Generation.

Traffic Inspector Next Generation – сертифицированное ФСТЭК РФ комплексное решение по обеспечению информационной безопасности. Это программно-аппаратный комплекс, который защищает от разных типов угроз и по классификации Gartner относится к классу решений Unified Threat Management (UTM). Решение обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса.

Рассмотрим функциональные возможности Traffic Inspector Next Generation, которые позволяют использовать его для защиты от кибератак шифровальщиков-вымогателей.

Межсетевой экран

Файрволл или межсетевой экран — это компонент защитного решения, который выполняет множество задач, главные из которых:

Защита компьютеров внутренней сети от несанкционированного доступа со стороны интернета.
Трансляция сетевых адресов (Network Address Translation).
Публикация внутренних служб в интернете.
Контроль доступа внутренних пользователей к интернет-ресурсам.

Межсетевой экран позволяет закрыть для доступа все неиспользуемые порты, что ограничит для многих вредоносов возможности распространения.

Например, всемирно известные шифровальщики WannaCry и NotPetya, ущерб от которых оценивается в миллиарды долларов США, использовали для распространения TCP-порты 135, 139 и 445 протоколов SMB и WMI. При этом сети, защищённые грамотно сконфигурированными межсетевыми экранами, остались незаражёнными.

Межсетевой экран Traffic Inspector Next Generation по умолчанию блокирует весь внешний трафик кроме того, который поступает в ответ на запросы из внутренней сети. В результате даже настройки по умолчанию обеспечивают полную защиту от вредоносного ПО, которое проникает в сети напрямую.

Система обнаружения и предотвращения вторжений

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) значительно улучшает безопасность сети, поскольку позволяет обнаружить и заблокировать:

использование скомпрометированных SSL-сертификатов;
эксплуатацию уязвимостей в протоколах DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколы;
использование эксплойтов и уязвимостей сетевых приложений;
DOS-атаки;
случаи сетевого сканирования;
трафик ботнетов и скомпрометированных хостов;
трафик от хостов, заражённых троянским ПО и сетевыми червями;
трафик от спам-сетей.

Модуль IDS/IPS в составе Traffic Inspector Next Generation анализирует трафик до того, как он попадёт внутрь сети, поэтому киберпреступники не смогут воспользоваться уязвимостями внутренних систем для внедрения шифровальщиков. Система обнаружит и отбросит все вредоносные сетевые пакеты. Если шифровальщик сумеет проникнуть в локальную сеть по другим каналам, IDS/IPS заблокирует его попытки связаться с управляющим сервером, что в некоторых случаях позволит избежать дальнейшего заражения.

Контентная фильтрация веб-трафика

Сайты с вредоносным содержимым — один из популярных каналов распространения шифровальщиков. Фальшивые обновления для Adobe Flash Player и другого популярного ПО, мошенническая реклама и фишинговые сайты активно распространяют вымогателей, создание которых поставлено на поток благодаря применению модели Ransomware-as-Service (Вымогатель-как-Услуга).

Для противодействия этому вектору заражения в Traffic Inspector Next Generation имеется модуль контентной фильтрации веб-трафика. Среди его функциональных возможностей — фильтрация по белым и черным спискам. Допускается использование общедоступных списков категорий сайтов, создание своих, а также фильтрация по типу загружаемого контента. Это позволяет в режиме реального времени защитить пользователей от посещения мошеннических сайтов, а также запретить загрузку потенциально опасных типов файлов.

Антивирусная защита

К сожалению, даже добропорядочные сайты иногда становятся жертвами взлома. Нередко злоумышленники используют такие сайты для распространения шифровальщиков и другого вредоносного ПО.

Для защиты в таких ситуациях Traffic Inspector Next Generation имеет в составе модуль антивирусной проверки трафика, который позволяет использовать плагин от Лаборатории Касперского, ClamAV или внешний антивирус, установленный на отдельном хосте.

Антивирусный модуль от Лаборатории Касперского обладает богатой функциональностью, позволяя не только проверять http/https-трафик, но и удалять вирусные вложения из почтовых сообщений и даже сканировать веб-адреса по базе данных фишинга. Кроме локальной проверки можно включить Kaspersky Security Network — облачное сканирование на ресурсах Лаборатории Касперского, где применяются новейшие технологии распознавания вредоносного ПО.