Ana Tolimir, Cisco Country Leader za teritoriju Srbije i Crne Gore, nam je dala svoj pogled na ransomware napade i opisala Ciscov odgovor na ovakve vrste izazova:
Ransomware napadi privlače sve veću pažnju javnosti. Prema većini izveštaja i pokazatelja ovi napadi su postali broj jedna cyber security pretnja na svetu. Procenjuje se da su samo u 2016. godini sajber kriminalci na ovaj način zaradili 1 milijardu USD, a taj iznos je sigurno mnogo veći ako uzmemo u obzir da se radi samo o prijavljenim napadima u zemljama poput USA, u većini zemalja u svetu još uvek ne postoji zakonska regulativa koja obavezuje kompanije da prijave cyber napade odgovornim državnim institucijama.
Zbog izuzetne profitabilnosti koju ovi napadi donose, predviđanja su da će u narednih 4-5 godina ransomware tržište i biznis narasti na više od 17 milijardi USD. Kako su ovi napadi ne samo profitabilni i donose brzu i laku zaradu, već i često veoma jednostavni za izvođenje, uz činjenicu da su kriminalci sve veštiji kada je u pitanju razvoj ransomware-a, ova predviđanja nisu pesimističan pogled u budućnost, već realnost s kojom se moramo suočiti.
Kad pričamo o poslovnim sistemima koji su ugroženi i pogođeni ovim napadima, od maloprodajnih, transportnih, finansijskih i proizvođačkih pa sve do akademskih i državnih organizacija, gotovo da nema izuzetaka, skoro sve grane industrije su žrtve ovih napada. Možda su zbog nekih svojih specifičnosti do sada nešto više na udaru bile zdravstvene i proizvođačke vertikale, prosto zbog činjenice da se u ovim granama češće mogu naći stariji i nezakrpljeni operativni sistemi i aplikacije sa više poznatih ranjivosti. Ono što je dodatni problem koji ransomware donosi, a o kojem se ređe priča, jeste činjenica da se on sve više koristi od strane naprednih napadača za skretanje pažnje sa glavnog dela napada – dok se korisnici bave ransomware problemom napadači neometano i neopaženo dolaze u posed mnogo vrednijih informacija i sistema unutar kompanije.
Ransomware je vrsta računarskog zloćudnog softvera koji se neprimećeno instalira na računarima žrtve i koji nakon toga kriptuje podatke na računaru, odnosno blokira ih i sprečava vlasnika da ih koristi. Žrtva istovremeno dobija poruku u kojoj se navodi da je potrebno da plati otkup napadaču kako bi podaci na računaru bili odblokirani. Otkup se uvek traži u virtuelnoj kripto-valuti bitkoin.
Ransomware napad se najčešće sprovodi preko tzv. fišing emejl poruka koje sadrže prilog u obliku datoteke, arhive ili fotografije. Ransomware takođe može biti pokrenut na uređaju korisnika posetom na veb sajt koji je inficiran zloćudnim softverom. Posetom na sajt, korisnik nesvesno ugrožava bezbednost i omogućuje da zloćudni softver bude instaliran na sistem.
U poslednje vreme smo svedoci smo promena u načinu izvođenja ovih napada – dok su ranije verzije ransomware-a zahtevale ljudsku asistenciju pri instalaciji i isključivu distribuciju kroz fišing poruke i veb redirekcije, neke nove generacije preskaču čak i te korake i ispoljavaju tzv. worm karakteristike koje im pomažu u automatskoj redistribuciji bez ikakve interakcije korisnika.
Takav je slučaj sa nedavnim WannaCry napadom. Globalni sajber napad, za koji se veruje da je izazvan procurelim informacijama iz NSA o Microfoft SMB ranjivostima, pogodio je organizacije i pojedince širom sveta. Prema dosadašnjim izveštajima, napad je zahvatio preko 100 zemalja i više stotina hiljada uređaja. Microsoft je još 14. marta javno objavio ranjivost koju ovaj napad koristi i odmah izdao sigurnosnu zakrpu za većinu verzija svojih operativnih sistema, ali veliki broj korisnika nije u međuvremenu implementirao objavljene zakrpe. Važno je napomenuti da je Cisco istraživački tim (Talos) istog dana, odmah nakon objavljene Microsoft ranjivosti kreirao adekvatna pravila koje su naši Cisco Firewall i IPS (Intrusion Prevention Systems) uređaji automatski primenili i na taj način se zaštitili naše korisnike od WannaCry napada, čak i bez implementacije Microsoft zakrpe.
Kako se zaštititi od ransomware napada?
Budući da su korporativni procesi i mreže danas sve kompleksnije, njihovo obezbeđivanje predstavlja sve veći izazov.
Za borbu protiv ransomware-a, Cisco Systems korisnicima nudi arhitekturalni, višeslojni pristup bezbednosti koji smo nazvali Cisco® Ransomware Defense. Ova bezbedonosna arhitektura obuhvata zaštitu naših poslovnih korisnika na različitim nivoima – mrežnom, DNS, Email i nivou krajnjeg uređaja. Sva rešenja koriste inteligenciju i informacije koju razvija najveći cyber security istraživački tim na svetu – Cisco Talos.
Ransomware Defense rešenje se sastoji od sledećih pojedinačnih tehnologija:
Cisco Umbrella – omogućava zaštitu i blokiranje pretnji na DNS nivou.
Cisco Advanced Malware Protection (AMP) za krajnje uređaje – anti-malver tehnologija koja ne samo da ima proaktivnu zaštitu već i jedinstvenu mogućnost tzv.retrospektivne bezbednosti i reakcije na inicijalno nepoznate i nedetektovane tipove malvera.
Cisco Email Security – bilo kao cloud bilo kao uređaj u korisničkoj mreži, ovaj sistem zaustavlja najveći broj fišing i spam napada koji distribuiraju ransomware
Cisco Firepower™ firewall nove generacije (NGFW) – bezbedonosni sistem koji blokira i tzv. command-and-control komunikaciju kojom ransomware obezbeđuje ključeve za kriptovanje podataka (i ostale važne komande vezane za njegovo izvršenje) i u isto vreme sprečava transfer zloćudnih datoteka preko mreže
Cisco Stealtwatch – rešenje koje obezbeđuje neophodnu vidljivost, sistem koji beleži svaku mrežnu komunikaciju i pomaže korisnicima da kreiraju i definišu tzv. baseline normalnih aktivnosti koji nam onda omogućava lakšu identifikaciju nenormalnih i sumnjivih aktivnosti.
Cisco ISE (Identity Services Engine) – rešenje za autentifikaciju korisnika (uređaja) i kontrolu pristupa mreži koje omogućava dinamičku segmentaciju korisničkih mreža. Korišćenjem pametnih Cisco mrežnih uređaja ovim sistemom omogućavamo dubinsko delovanje bezbedonosnih rešenja i tehnologija u cilju sprečavanja distribucije malvera u unutrašnjosti korisničkih mreža.
Pored samih proizvoda i rešenja Cisco svojim korisnicima takođe nudi usluge Cisco Security Servisa koji obezbeđuju efikasnu i kvalitetnu implementaciju i dizajn svih pomenutih rešenja, kao i tzv. incident response usluge u slučaju infekcija Ransomware-om.
Zbog velikog značaja ransomware pretnji, osim potrebnih savremenih tehnologija i rešenja koje Cisco nudi, važno je napomenuti da se mora u isto vreme raditi i na povećanju svesti zaposlenih. Poslovne organizacije danas moraju ne samo da se edukuju svoje zaposlene o ransomware-u i drugim pretnjama, već i da im pomognu da razviju bolje bezbednosne navike jer sveukupna bezbednost kompanija nikada ne zavisi samo od primenjene tehnologije već i od i ljudi i poslovnih procesa. Samo na taj način ćemo imati šansu u stanju da se odupremo savremenim pretnjama i napadima.