1. Выявление: определение того, какие среды и части инфраструктуры могут быть затронуты возможными атаками; выявление связанных с этим рисков и анализ ситуации в контексте коммерческих целей бизнеса.
- «Человеческий файервол» — зондирование. Защитить вашу организацию только с помощью технологий не получится. Каждый должен иметь представление о рисках в сфере безопасности и понимать, как информировать о потенциальных инцидентах. Необходимо повышать осведомленность сотрудников и регулярно проверять их, имитируя фишинговые атаки.
- Планирование обеспечения непрерывности бизнеса. Следует предусмотреть процессы, критически важные для обеспечения непрерывности вашего бизнеса, такие как: взаимодействие сотрудников и действия в случае сбоев и возможных нарушений. Этот план необходимо хранить в строго определенном месте, где гарантируется его неизменность и доступность 24/7.
- Учет цифровых активов. Необходимо определить и отметить активы и ресурсы, критически важные для функционирования вашей организации, чтобы иметь возможность их идентифицировать и эффективно защищать.
2. Защита: разработка и внедрение необходимых механизмов защиты, обеспечивающих работоспособность критически важных частей инфраструктуры, проактивно обеспечивающих возможность минимизировать или локализовать последствия кибератак.
- Обучение вашего «человеческого файервола». Обучение персонала вопросам кибербезопасности — это крайне эффективный способ повысить уровень защиты организации. Такое обучение должно проводиться непрерывно: сотрудники, независимо от должностей и сферы работы, должны получать обновленную информацию и проходить инструктажи по мере возникновения угроз.
- Инвестиции в цифровую гигиену. Необходимо сделать все возможное, чтобы затруднить злоумышленникам процесс «заражения» вашей организации. Например, генерировать уникальные пароли и регулярно их обновлять, использовать многофакторную аутентификацию, очищать сеть от неиспользуемых устройств и приложений.
- Правило «3-2-1-1-0». Вы должны хранить не менее трех копий всех имеющихся у вас важных данных. Следует хранить резервные копии ваших данных на носителях двух разных типов и еще одну копию реплицировать в удаленном хранилище. Дополнительной защиты можно добиться с помощью шифрования и использования инфраструктуры, изначально спроектированной с упором на безопасность.
3. Выявление: своевременное обнаружение событий в сфере кибербезопасности. Это важнейший этап создания надежной киберстратегии. Чем быстрее событие обнаружено, тем скорее можно принять меры для минимизации его последствий.
- Настройка систем обнаружения. Самый большой риск заключается в быстром распространении вируса между системами, поэтому возможность видеть действия потенциального вымогателя в системе — ключ к успеху. Необходимо настроить своевременные уведомления, обеспечивающие защиту от вирусов, вредоносного ПО и вирусов-вымогателей.
- Настройка виртуальных ловушек. Неиспользуемая учетная запись администратора, попытка доступа к которой вызывает немедленное срабатывание тревоги, позволят легко выявить вредоносную активность.
4. Реагирование: выработка подходов к минимизации последствий инцидентов в сфере кибербезопасности. Это позволяет обеспечивать принятие надлежащих действий.
- Создание плана реагирования на инциденты. Необходимо проработать процедуры по выявлению инцидентов в сфере безопасности, информированию ответственных специалистов, устранению и ликвидации последствий таких инцидентов, чтобы сотрудники знали, как им действовать при их возникновении.
- Спокойствие и ответственность. Никогда не обвиняйте ИТ-отдел или сотрудников в инциденте. Это не помогает реагировать на него, а только повышает уровень стресса и нервозности. Сохраняйте спокойствие и нужных людей, чтобы как можно быстрее активировать план реагирования на инциденты.
5. Восстановление: не все кибератаки удается отразить, поэтому необходимо иметь рабочую стратегию восстановления для ситуаций, когда ваша киберзащита была пробита.
- Разработка стратегии восстановления. Определите порядок приоритетных действий при восстановлении. Создайте резервные копии данных и убедитесь, что злоумышленник не может получить к ним доступ.
- Создание системы восстановления. При создании системы резервного копирования необходимо ориентироваться на ее производительность, а не только концентрироваться на времени, которое займет резервное копирование. Определите оптимальные требования SLA с точки зрения целевой точки восстановления и целевого времени восстановления из резервной копии.
«Война с вирусами-вымогателями — это наша реальность, и каждый должен быть готов отразить атаку на свои данные, — заявил Рик Вановер, старший директор по стратегии развития продуктов Veeam. — Хорошая новость состоит в том, что если вы подготовились заранее, вы можете разработать надежную схему действий на случай сбоев и нарушения нормальной работы. Кибербезопасность — это не только планирование, но и внедрение культуры, когда все сотрудники осведомлены о своей роли в защите критических данных и систем и неукоснительно следуют правилам цифровой гигиены».
«Вымогатели постоянно совершенствуются, и если одни вирусы просто шифруют данные и требуют выкуп, то другие направлены на уничтожение данных или угрожают жертвам утечкой и продажей данных, — добавил Эдвин Вейждема, глобальный технолог Veeam. — Мы в Veeam считаем, что в борьбе с вирусами-вымогателями единственный возможный вариант — это восстановление данных. Не платите выкуп. Старайтесь обучать сотрудников, внедряйте лучшие отраслевые практики и стратегии восстановления данных, а также меры по устранению угроз».