Tveganje okužbe z zlonamerno programsko opremo je vedno prisotno. Kljub uporabi strogih varnostnih pravil, napredne tehnologije in velikosti organizacije obstaja možnost, da zlonamerna programska oprema prodre v obrambo. Če se to zgodi – in mora biti obravnavano kot “kdaj”, ne kot “če” – je ključnega pomena, da vemo, kako ustrezno ukrepati. Jasen načrt odziva je bistven za omejevanje in odpravljanje okužbe ter preprečevanje nadaljnjih težav.
Če ne veste, kje začeti, je ta članek za vas. V njem je predstavljenih osem ključnih korakov, ki jih je treba izvesti po odkritju okužbe z zlonamerno programsko opremo v vašem sistemu.
1. Identifikacija okuženih gostiteljev
Prvi korak pri reševanju incidenta z zlonamerno programsko opremo je ugotoviti, ali ste resnično okuženi. V nekaterih primerih, kot je napad z izsiljevalsko programsko opremo, ki prizadene celotno organizacijo, morda ni potrebno preveriti sumov, saj je okužba očitna. Vendar pa okužbe niso vedno tako očitne, zato je pomembno pregledati vire odkrivanja, da bi bolje razumeli naravo incidenta. Forenzični podatki vašega protivirusnega programa, filtrov vsebine, IPS in tehnologij SIEM lahko zagotovijo vpogled v vrsto zlonamerne programske opreme in v to, kako je bil vaš sistem kompromitiran. Dnevniški podatki bi morali biti shranjeni vsaj eno leto, da omogočijo temeljito preiskavo po incidentu. Analitična orodja, kot je Emsisoft EDR, lahko zelo koristijo pri preučevanju incidenta v realnem času in pomagajo IT ekipam razumeti, kako je bil izveden napad, kateri sistemi so bili prizadeti in kako najbolje odgovoriti na incident.
2. Preprečevanje nadaljnje okužbe
Ko imate natančno sliko o incidentu, je naslednji korak v procesu okrevanja preprečiti nadaljnje širjenje zlonamerne programske opreme. Namen tega koraka je dvojen: prvič, preprečiti, da bi se zlonamerna programska oprema širila na druge naprave v omrežju, in drugič, preprečiti dodatno škodo na že okuženih napravah. Idealno bi bilo, da bi bila vsa prizadeta omrežja med okrevanjem v celoti izključena, vendar to ni vedno mogoče. V nekaterih primerih bi lahko začasno izklopili omrežni dostop, kar bi lahko zelo učinkovito preprečilo širjenje zlonamerne programske opreme. Vendar pa bi lahko motnje, ki bi jih povzročil ta ukrep, bile večje od varnostnih tveganj, ki jih predstavlja izolacija prizadetega omrežja. Če se odločite za ta korak, bi morali vsi okuženi gostitelji biti odstranjeni iz omrežja, medtem ko bi morale biti nepoškodovane naprave tesno spremljane za znake zlonamerne aktivnosti.
3. Ustvarite varnostno kopijo okuženih gostiteljev
Pri določenih vrstah zlonamerne kode, vključno z izsiljevalskimi programi, lahko integriteta podatkov močno ogrozi. Zato je dobra praksa pri popravljanju okuženih sistemov vedno ustvariti varnostno kopijo, preden se lotite dešifriranja ali odstranjevanja zlonamerne kode. Če pride do nepričakovanih težav med postopkom odpravljanja šifriranja ali odstranjevanja zlonamerne kode, lahko vedno obnovite sistem v njegovo prvotno stanje in poskusite postopek znova. Za podrobnejše informacije o tem, kako se odzvati na incidente z izsiljevalsko programsko opremo, si lahko ogledate ustrezne blog zapise.
4. Ponastavite poverilnice
Za čas med okužbo in odkritjem zlonamerne kode je značilno, da obstaja tveganje, da so bile večkratne poverilnice ukradene in poslane zlonamernežem. Zato je bistveno, da ponastavite vse shranjene poverilnice, ob upoštevanju najboljših praks za ustvarjanje in upravljanje novih gesel. Med postopkom ponastavljanja poverilnic morate paziti, da ne izgubite dostopa do sistemov ali storitev, ki jih morda potrebujete med okrevanjem.
5. Izbrišite zlonamerno programsko opremo
Postopek odstranjevanja zlonamerne programske opreme z okuženih gostiteljev se lahko razlikuje glede na obseg okužbe. Pri običajnih okužbah lahko protivirusna rešitev običajno odstrani zlonamerno programsko opremo, ki bi morala biti karantenska namesto izbrisana, da jo lahko po potrebi analiziramo kasneje. V primerih bolj zapletenih okužb bi bila boljša možnost brisanje prizadetih naprav in ponovna namestitev operacijskega sistema, zlasti če: je vpleteno odkupninsko programje, je gostitelj okužen že nekaj časa, je gostitelj okužen z zadnjimi vrati, koreninskimi kompleti ali drugimi zapletenimi oblikami zlonamerne programske opreme, ni jasno, ali se je na okuženem gostitelju pojavila dodatna zlonamerna dejavnost. V takšnih scenarijih je ponovna izgradnja prizadetih gostiteljev od začetka najbolj zanesljiv način za zagotovitev, da organizacija popolnoma odpravi okužbo.
6. Obnovitev iz varnostnih kopij
Če želite obnoviti gostitelje iz varnostnih kopij, morate biti popolnoma prepričani, da so varnostne kopije brez zlonamerne programske opreme, da se izognete ponovni okužbi vašega sistema. Ko je naprava obnovljena, jo lahko povežete z varno mrežo, da prenesete in namestite posodobitve za operacijski sistem in druge aplikacije. Na ta način lahko zagotovite, da so vsi programi in sistemski datoteke na gostitelju posodobljeni na najnovejšo, varno različico, preden se ponovno povežete z glavno omrežje.
7. Ponovno se povežite z omrežjem
Po odstranitvi zlonamerne programske opreme z naprav je zadnji korak v načrtu za okrevanje po incidentu vzpostavitev začasnih zaščitnih ukrepov. Ko ste prepričani, da je omrežje očiščeno, ponovno povežite obnovljene naprave z omrežjem ter omogočite storitve, ki ste jih morda izklopili. Po tem je potrebno pozorno spremljati omrežje v naslednjih urah, dneh in tednih, da boste lahko opazili znake sumljive dejavnosti, ki bi lahko nakazovale morebitno ogroženost.
8. Iz incidenta se učite
Vsak incident z zlonamerno programsko opremo predstavlja priložnost za učenje. Čeprav se morda sliši klišejsko, je kritični pregled incidenta ključnega pomena za boljše razumevanje, kako se je okužba zgodila, kako pripravljeni ste bili za spopadanje z nevarnostjo in katera področja postopkov odzivanja bi lahko izboljšali. Vaje za učenje po incidentu lahko pomagajo pri prepoznavanju in odpravljanju ranljivosti ter zmanjšanju tveganja za morebitne ponovitve incidenta. Možni ukrepi za izboljšave lahko vključujejo spremembe v varnostnih politikah organizacije, prilagoditve nastavitev programske opreme ali operacijskega sistema, ponovno konfiguracijo varnostnih aplikacij, investicije dobre protivirusne programe, prilagoditev formalnih postopkov odzivanja, in podobno.
Način odziva pogojuje vaše nadaljnje delo
Učinkovit način odzivanja na okužbo z zlonamerno programsko opremo je ključen za preprečevanje morebitnih katastrofalnih posledic. Brez pravilne strategije za odzivanje se lahko majhna okužba hitro razširi in prerase v veliko incident, ki lahko povzroči resne poslovne izgube, škodo za ugled podjetja in lahko celo ogrozi varnost strank in zaposlenih. Če organizacija nima načrta za odzivanje na zlonamerno programsko opremo, se lahko znajde v stresni situaciji in se sooča s težkimi odločitvami, ki lahko vplivajo na celotno poslovanje.
Poleg tega lahko učinkovit način odzivanja na okužbo z zlonamerno programsko opremo tudi zmanjša stroške za popravilo po incidentu. Če organizacija hitro in učinkovito ukrepa, lahko prepreči dodatne poškodbe in zmanjša količino časa in denarja, ki bi jih sicer porabila za obnovo sistema in okrevanje poslovanja.
Zato je izjemno pomembno, da organizacije razvijejo načrt za odzivanje na zlonamerno programsko opremo, ki se osredotoča na preprečevanje incidentov, odkrivanje napadov in hitro odzivanje nanje. Načrt bi moral vključevati podroben opis postopkov za odzivanje, ki so primerni za različne scenarije in situacije, pa tudi jasno določene odgovornosti in pristojnosti za vse zaposlene. S tem lahko organizacija zagotovi, da bo vsakdo vedel, kaj se od njih pričakuje, če pride do okužbe z zlonamerno programsko opremo, in da bodo vsi ukrepi usklajeni in učinkoviti.