[KRÖNIKA] Övergången till mer distansarbete innebär både stora och många förändringar, inte minst ur ett säkerhetsperspektiv.
Rick Vanover, Senior Director of Product Strategy, Veeam
När chefer nu inför nya policys kring mer omfattande distansarbete växer ett nytt koncept som definieras av en hybrid arbetsstyrka fram. Den nya situationen präglas av att samma verksamhet kommer att omfatta stora variationer mellan kontorsmiljön och miljön för distansarbete. Även om denna övergång för med sig en uppsjö av möjligheter för organisationer och anställda, öppnar den även upp för kriminella aktörer som kommer att försöka dra nytta av de nya utmaningar som IT-avdelningarna måste hantera som ett led i sitt ansvar för att garantera att känsliga data förblir säkra, oavsett om data finns inom eller utanför företagsnätverket.
Hoten mot företagsdata ser olika ut beroende på attackmetod, och det är idag ransomware som utgör den största risken för organisationer över hela världen, vilket understryks av att de har haft en ökning på 41 % bara under 2019. Det är viktigt att företag tar till sig dessa risker och inför processer och strategier för att förbereda, försvara och reparera incidenter, innan de anpassar sig till den hybrida arbetsmodellen. Genom att införa effektiva processer kan verksamheter förhindra att drabbas på ett sätt där dataförluster eller lösenbetalning är de enda kvarvarande alternativen. För att vinna kampen mot ransomware bör organisationer införa en plan som säkerställer att de har den motståndskraft som behövs för att övervinna alla attacker. Låt oss utforska tre viktiga steg att ta för att stå emot ransomware mer i detalj.
Utbildning är första steget, undvik att hamna i ett läge där du tvingas till en reaktiv approach
Utbildning, med början efter identifiering av hoten, är det första steget. För att undvika att hamna i en reaktiv position är det viktigt att förstå de tre huvudmekanismerna för intrång i händelse av en ransomware-incident: Internetanslutningar via RDP eller annan fjärråtkomst, nätfiskeattacker och programvarusårbarheter. När organisationer vet vilka hoten är kan de utforma och genomföra utbildningar med syfte att vässa IT- och användarsäkerheten så att de kan få relevanta ytterligare säkerhetsåtgärder på plats. Att identifiera de tre främsta mekanismerna kan hjälpa IT-administrationen att isolera RDP-servrar med backup-komponenter, integrera verktyg för att bedöma hot om nätfiskeattacker samt informera användare om återkommande uppdateringar av allt från operativsystem till applikationer, databaser och firmware.
Genom att lära sig att använda olika verktyg i kampen mot ransomware kan IT-avdelningar snabbt anpassa sina åtgärder utifrån olika scenarier. När en attack väl inträffar kommer de att känna igen, förstå och ha förtroende för återställningsprocessen. Genom att ta utbildningsaspekten av dessa åtgärder på allvar kan organisationer minska riskerna med ransomware, inklusive de kostnader och påfrestningar det innebär att oförberedd hantera en ransomware-incident.
Implementera backup-lösningar som säkerställer affärskontinuiteten
En viktig del av arbetet mot ransomware är implementeringen av en backup-infrastruktur för att skapa och upprätthålla en stark affärskontinuitet. Organisationer måste ha ett pålitligt system på plats som skyddar deras servrar och hindrar dem från att behöva betala lösen för att få tillbaka sina data. Överväg att hålla backup-servern isolerad från internet och begränsa delade konton som ger åtkomst till alla användare. Tilldela istället specifika uppgifter inom servern, som är relevanta för användare och kräver tvåfaktorautentisering för fjärråtkomst. Dessutom kommer säkerhetskopior med en icke-uppkopplad dubblett av data, tillsammans med 3-2-1-regeln att ge ett av de mest effektiva försvaren mot ransomware, insiderhot och oavsiktlig radering.
Dessutom kan en tidig upptäckt av ett ransomware-hot ge IT-organisationer betydande fördelar. Detta kräver att det finns verktyg på plats för att flagga för möjlig hotaktivitet. För enheter som används för distansarbete, kommer backup-lösningar inställda för riskidentifiering att ge IT-organisationer ytterligare inblick som är värdefullt för att analysera potentiella hot. Om implementeringar inte kan förhindra attacker, är ett annat alternativ att kryptera säkerhetskopior där det är möjligt för att lägga på ytterligare ett skyddslager – kriminella som kräver lösen för att inte läcka data vill inte behöva dekryptera dem. När det kommer till ransomware-incidenter så finns det inte en lösning som är effektiv i alla situationer. Det viktigaste är att komma ihåg är att förmågan att hantera ransomware-attacker kommer att avgöras på hur backup-lösningar implementeras, på hotets utformning och hur du hanterar attacken. Ta dig tid att undersöka de tillgängliga alternativen och se till att lösningar implementeras för att skydda ditt företag.
Förbered dig på att åtgärda en incident i förväg
Även när det finns skyddsåtgärder på plats, bör organisationer fortfarande vara beredda att agera på hot. Skyddslager mot attacker är ovärderliga, men organisationer måste också kartlägga specifikt vad de ska göra när ett hot väl upptäcks. Om en ransomware-incident skulle inträffa måste organisationer ha support på plats för att styra återställningsprocessen så att säkerhetskopior inte äventyras. Kommunikation är nyckeln. Att ha en färdig lista över personer att kontakta kring säkerhets-, incidentrespons- och identitetshantering om det behövs – såväl inom som utanför organisationen – hjälper till att underlätta lösningsprocessen.
Organisationer bör även i förväg skapa en process som definierar vilka beslutsfattare som gör vad beroende på var i hanteringsprocessen verksamheten befinner sig. Om förhållandena möjliggör återställning ska IT-organisationen vara väl förtrogen med vilka alternativ som finns baserat på situationen. Implementera ytterligare säkerhetskontroller innan systemet kopplas på nätverket igen – som t ex en antivirussökning innan återställningen slutförs – och se till så att den pågående processen är den rätta. När processen är klar säkerställer verksamheten att samtliga ändrar sina lösenord för att minska risken att hotet dyker upp igen.
Det hot som ransomware utgör för stora och små organisationer är verkligt. Eftersom ingen kan förutsäga när eller hur en attack kommer att ske, har IT-organisationer med ett starkt försvar i flera lager och en strategi på plats större chans att återhämta sig. Med de rätta förberedelserna kan de åtgärder som beskrivs ovan öka alla verksamheters motståndskraft mor ransomware, oavsett om medarbetare jobbar på kontoret, på distans eller i en kombination av de två.
Av: Rick Vanover, Senior Director of Product Strategy, Veeam
