Компоненты защиты от шифровальщиков-вымогателей

545

Вирусы-шифровальщики, ставшие одной из главных проблем информационной безопасности 2017 года, продолжают наносить ущерб организациям и в 2019 году.

Из недавних инцидентов можно отметить:

Главная опасность вымогателей в том, что они парализуют работу компаний, блокируя данные, а в некоторых случаях полностью уничтожая их.

Основные способы проникновения вымогателей-шифровальщиков в системы — это бесфайловые атаки, эксплуатация уязвимостей в необновлённых операционных системах, фишинговые рассылки по электронной почте, вредоносные сайты и сменные носители информации.

Многообразие способов атак, которые применяют вымогатели, требует организации комплексной системы защиты. Обязательными компонентами такой защиты являются:

  • Межсетевой экран — он позволяет контролировать входящий и исходящий сетевой трафик в соответствии с заданными правилами. Это исключает возможность эксплуатации уязвимостей сетевых сервисов, а также утечки информации наружу.
  • Система обнаружения и предотвращения вторжений. Она позволяет своевременно выявить и заблокировать вредоносную активность проникшего в сеть вирусного ПО.
  • Контентная фильтрация веб-трафика, которая защищает компьютеры пользователей от загрузки вредоносных плагинов и расширений.
  • Антивирус — для защиты компьютеров и серверов от заражения.

Многим компаниям сложно выстроить полноценную защиту, потому что они пытаются сделать это, совмещая продукты разных производителей по принципу «сумма лучшего даёт лучший результат». Они приобретают самый популярный антивирус, самый раскрученный межсетевой экран и самую дорогую систему IDS/IPS, но не получают желаемого: продукты разных производителей конфликтуют между собой.

Понимая ситуацию, разработчики систем защиты предлагают интегрированные решения, закрывающие самые распространённые векторы атак. В числе таких продуктов – универсальный шлюз безопасности Traffic Inspector Next Generation.

Traffic Inspector Next Generation – сертифицированное ФСТЭК РФ комплексное решение по обеспечению информационной безопасности. Это программно-аппаратный комплекс, который защищает от разных типов угроз и по классификации Gartner относится к классу решений Unified Threat Management (UTM). Решение обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса.

Рассмотрим функциональные возможности Traffic Inspector Next Generation, которые позволяют использовать его для защиты от кибератак шифровальщиков-вымогателей.

Межсетевой экран

Файрволл или межсетевой экран — это компонент защитного решения, который выполняет множество задач, главные из которых:

  • Защита компьютеров внутренней сети от несанкционированного доступа со стороны интернета.
  • Трансляция сетевых адресов (Network Address Translation).
  • Публикация внутренних служб в интернете.
  • Контроль доступа внутренних пользователей к интернет-ресурсам.

Межсетевой экран позволяет закрыть для доступа все неиспользуемые порты, что ограничит для многих вредоносов возможности распространения.

Например, всемирно известные шифровальщики WannaCry и NotPetya, ущерб от которых оценивается в миллиарды долларов США, использовали для распространения TCP-порты 135, 139 и 445 протоколов SMB и WMI. При этом сети, защищённые грамотно сконфигурированными межсетевыми экранами, остались незаражёнными.

Межсетевой экран Traffic Inspector Next Generation по умолчанию блокирует весь внешний трафик кроме того, который поступает в ответ на запросы из внутренней сети. В результате даже настройки по умолчанию обеспечивают полную защиту от вредоносного ПО, которое проникает в сети напрямую.

Система обнаружения и предотвращения вторжений

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) значительно улучшает безопасность сети, поскольку позволяет обнаружить и заблокировать:

  • использование скомпрометированных SSL-сертификатов;
  • эксплуатацию уязвимостей в протоколах DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколы;
  • использование эксплойтов и уязвимостей сетевых приложений;
  • DOS-атаки;
  • случаи сетевого сканирования;
  • трафик ботнетов и скомпрометированных хостов;
  • трафик от хостов, заражённых троянским ПО и сетевыми червями;
  • трафик от спам-сетей.

Модуль IDS/IPS в составе Traffic Inspector Next Generation анализирует трафик до того, как он попадёт внутрь сети, поэтому киберпреступники не смогут воспользоваться уязвимостями внутренних систем для внедрения шифровальщиков. Система обнаружит и отбросит все вредоносные сетевые пакеты. Если шифровальщик сумеет проникнуть в локальную сеть по другим каналам, IDS/IPS заблокирует его попытки связаться с управляющим сервером, что в некоторых случаях позволит избежать дальнейшего заражения.

Контентная фильтрация веб-трафика

Сайты с вредоносным содержимым — один из популярных каналов распространения шифровальщиков. Фальшивые обновления для Adobe Flash Player и другого популярного ПО, мошенническая реклама и фишинговые сайты активно распространяют вымогателей, создание которых поставлено на поток благодаря применению модели Ransomware-as-Service (Вымогатель-как-Услуга).

Для противодействия этому вектору заражения в Traffic Inspector Next Generation имеется модуль контентной фильтрации веб-трафика. Среди его функциональных возможностей — фильтрация по белым и черным спискам. Допускается использование общедоступных списков категорий сайтов, создание своих, а также фильтрация по типу загружаемого контента. Это позволяет в режиме реального времени защитить пользователей от посещения мошеннических сайтов, а также запретить загрузку потенциально опасных типов файлов.

Антивирусная защита

К сожалению, даже добропорядочные сайты иногда становятся жертвами взлома. Нередко злоумышленники используют такие сайты для распространения шифровальщиков и другого вредоносного ПО.

Для защиты в таких ситуациях Traffic Inspector Next Generation имеет в составе модуль антивирусной проверки трафика, который позволяет использовать плагин от Лаборатории Касперского, ClamAV или внешний антивирус, установленный на отдельном хосте.

Антивирусный модуль от Лаборатории Касперского обладает богатой функциональностью, позволяя не только проверять http/https-трафик, но и удалять вирусные вложения из почтовых сообщений и даже сканировать веб-адреса по базе данных фишинга. Кроме локальной проверки можно включить Kaspersky Security Network — облачное сканирование на ресурсах Лаборатории Касперского, где применяются новейшие технологии распознавания вредоносного ПО.

Рекомендации

Шифровальщики-вымогатели продолжают нести серьёзную угрозу безопасности компаний. Распространение модели «Вымогатель-как-Услуга» сделало этот вид киберпреступлений доступным даже для тех, кто не обладает техническими знаниями, и привело к появлению многочисленных клонов вымогательского ПО, которые используют уязвимости нулевого дня и не обнаруживаются антивирусами.

В таких условиях защита сети компаний требует использования комплексных решений. При этом очень важно, чтобы компоненты защиты были совместимы между собой, не конфликтовали и не вызывали ложных срабатываний. Оптимальным вариантом будет использование интегрированных продуктов, подобных разработкам компании Смарт-Софт. Объединение «в одной коробке» функциональности межсетевого экрана, контентной фильтрации, антивируса и IDS/IPS позволяет защитить корпоративную сеть от большинства шифровальщиков-вымогателей, сохранив при этом удобство управления и полный контроль за ситуацией.


Протестировать Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.

Попробовать бесплатно
Назад
Далее
Рекомендуем почитать Смотреть все

Как выбрать UTM-решение для защиты локальной компьютерной сети

Теги: UTM-решения, Traffic Inspector Next Generation, советы, локальная компьютерная сеть

Возможности Traffic Inspector Next Generation для крупных компаний

Теги: Traffic Inspector Next Generation, крупный бизнес, Enterprise, История внедрения

Traffic Inspector Next Generation для СМБ: история внедрения в компании AVTOS

Теги: Traffic Inspector Next Generation, малый бизнес, история внедрения

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S500
M1000
L1000+
Enterprise
FSTEC
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа