CISA впервые обновляет руководство по программам-вымогателям совместно с ФБР и АНБ

Агентство по кибербезопасности и защите инфраструктуры (CISA) впервые с 2020 года выпустило обновленную версию руководства #StopRansomware в партнерстве с ФБР, АНБ и Межгосударственным центром обмена и анализа информации (MS-ISAC).

Обновленное руководство отражает уроки, извлеченные за последние несколько лет, и впервые добавляет ФБР и АНБ в качестве соавторов. Инструкции предлагают рекомендации по предотвращению первоначального вторжения, а также шаги по защите данных с помощью облачных резервных копий.

В CISA заявили, что агентства обновили руководство для того, чтобы помочь организациям снизить распространение и влияние программ-вымогателей.

По словам MS-ISAC, активность программ-вымогателей развивалась с 2020 года, поскольку ряд ключевых изменений привел к снижению порога входа для злоумышленников, особенно это касается RaaS-моделей («вымогательское ПО как услуга»).

Руководство также включает тактические изменения, внесенные злоумышленниками за последние годы, в том числе более широкое использование методов двойного вымогательства и кражи данных в атаках программ-вымогателей.

#StopRansomware включает в себя исчерпывающий список передовых методов защиты от атак, в том числе такие рекомендации:

• Поддерживать автономные зашифрованные резервные копии важных данных и регулярно проверять их в моделировании аварийного восстановления. Сюда входит «золотой образ» критически важных систем, включая предварительно настроенные ОС и связанные с ними приложения;
• Разработать, поддерживать и практиковать базовый план реагирования на киберинциденты, в частности, атаки программ-вымогателей и утечки данных. Также необходимо разработать план коммуникаций, включая уведомления госорганов об инциденте.

Руководство также включает комплекс мер для предотвращения и смягчения последствий атак программ-вымогателей, в том числе:

• Проведение регулярного сканирования для выявления и устранения уязвимостей, особенно на устройствах, подключенных к Интернету;
• Регулярное обновление ПО и ОС до последних версий;
• Проверка того, что все локальные, облачные, мобильные и личные устройства правильно настроены, а функции безопасности включены;
• Внедрение устойчивой к фишингу многофакторной аутентификации (МФА);
• Установка политики блокировки после определенного количества неудачных попыток входа.

Руководство предлагает создать иллюстрированные руководства, которые предоставляют подробную информацию о потоках данных внутри организации. Это поможет ИБ-специалистам понять, на каких системах следует сосредоточиться во время атаки. Руководство также содержит контактную информацию федеральных агентств, с которыми можно связаться во время атаки.