Under 2021 och första halvan av 2022 har ransomware, cyberattacker som låser en verksamhets datorer och kräver en lösensumma eller andra eftergifter för att låsa upp dem, fortsatt att öka på bred front.
Cisco Talos släpper nu råd för förebyggande åtgärder.
”Många verksamheter lägger tonvikten på att förhindra den inledande attacken, och inte på att besvara den efter att motståndaren lyckats få fotfäste. En ransomwareattack sker alltid i flera steg och ledningsgruppen måste därför också ha en strategi för att sakta ner och frustrera angriparen”, skriver Ciscos organisation för säkerhetsanalys, Talos, i en bloggpost där man även listat ett antal åtgärder för att uppnå de målen.
Det första steget är att säkerställa att organisationen har standardprocedurer för en ransomware-attack och regelbundet tränar på ”skarpt läge”, exempelvis hur snabbt man kan ändra alla privilegierade kontolösenord.
Man behöver också ha sätt att snabbt isolera ett komprometterat nätverkssegment för att skära av en attack och försvåra att den sprids i nätverket.
En modern, Zero Trust-baserad säkerhetsarkitektur som är anpassad för distansarbete och molnimplementering, är nödvändig både för att försvara sig mot ett första angrepp och för att göra det svårare att ta sig djupare in i nätverket.
Det är viktigt att alla ansvariga beslutsfattare har en god inblick i var affärskritiska data lagras och om dessa är krypterade när de inte används.
Samt vilka tjänster och applikationer som är affärskritiska och deras tekniska beroenden är.
Den sista åtgärden, men kanske den viktigaste, är att ha säkerhetskopior av alla affärskritiska data som inte kan nås genom att någon utomstående kommer över ett administratörslösenord.
Om ett angrepp lyckas, ställs verksamheter också inför valet att betala lösensumman eller försöka återskapa data så snabbt som möjligt. Det är ett svårt val, och även om den ekonomiska påverkan är mindre av att lyda cyberbrottslingarnas order och försöka tysta ner attacken tar ofta problemen inte slut där.
- Om du väljer att betala lösesumman innebär det i praktiken att du bidrar till att finansiera nästa angrepp. Du hamnar också i en situation där du måste förlita dig på att dem som angriper dig håller sitt ord. Men 80 procent av dem som angrips hackas på nytt kort tid senare, och nära hälften av dem av samma gärningsmän som första gången. Det är i själva verket rätt naturligt – ofta finns de sårbarheter som föranledde angreppet kvar, och som alla entreprenörer vet cyberkriminella att det oftast är enklare att öka intäkterna från befintliga ”kunder” än att hitta nya, säger Henrik Bergqvist, säkerhetsexpert på Cisco Sverige.
