כיצד להתגונן מפני התקפת כופר ברשת הארגונית?

1. יש לוודא שעובדי החברה מכירים את הסכנות ברשת.
   חשוב מאוד לפני הכול להפנים שהעובדים הם חלק בלתי נפרד ממערך ההגנה על הארגון. יש ליישם תוכנית מודעות אבטחת מידע לעובדים בארגון באמצעות הדרכות, מבחנים ועדכונים המתריעים על התקפות נפוצות על מנת לוודא שכל העובדים מכירים את כללי אבטחת המידע ומודעים לסכנות ברשת. הנה לכם מצגת שתוכל לסייע לכם בהדרכות.

2. יש לוודא שקיים מנגנון אנטי-ספאם ברשת.
   איומים רבים כמו ניסיונות דיוג (פישינג) נשלחים בהודעות דוא"ל למשתמשים בארגון. יש לוודא שקיים מנגנון אנטי-ספאם שמסוגל לעצור מיילים מסוג זה ולמנוע מהם להגיע לעובד. כמובן שזה בנוסף לסעיף הראשון ושני הסעיפים צריכים להתקיים יחד. ל - ESET קיימת יכולות האנטי-ספאם בשני מוצרים - ESET Mail Security לשרתי Exchange, ו - ESET Endpoint Security לתחנות קצה.

3. יש להגדיר עדכוני מערכת הפעלה אוטומטיים בשרתים ובתחנות.
   מומלץ להשתמש במערכת כמו WSUS להפצה ובקרה על העדכונים, כדי לוודא שהעדכונים יתבצעו באופן אוטומטי. מומלץ גם לוודא שמערכות הפעלה מסוג לינוקס מקבלות עדכונים באופן שוטף.
   בממשק הניהול של ESET בגרסאות 6+ ניתן להשתמש במשימה כדי לפקוד על תחנות Windows ואף על Linux להוריד עדכונים.

4. יש לוודא התקנה של תוכנת אבטחה מעודכנת וחוקית בכל התחנות והשרתים ברשת.

• יש לוודא שלתוכנת Endpoint Security בה משתמשים קיימת מערכת קדם-פגיעה, כמו מערכת ה - ®LiveGrid של ESET (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
  מעבר למערכת ה - ®LiveGrid, ל - ESET קיים גם מנגנון Sandbox מבוסס ענן בשם ESET Dynamic Threat Defense, הנועד להגן מפני מתקפות Zero-Day, המאפשר הגנה עוד לפני שיוצא עדכון למערכת.

• יש להשתמש בתחנות בחומת אש מתקדמת (קיימת במוצרי ESET Endpoint Security), במיוחד במחשבים ניידים שיוצאים מהרשת ואינם מוגנים ע"י חומת האש הארגונית.
  מומלץ להגדיר ולאפשר תקשורת למחשבים שנמצאים מחוץ לרשת, כך שתמיד תהיו בבקרה על כל המחשבים המנוהלים.
• יש להגדיר ניקוי אוטומטי לנוזקות שאותרו (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
  במקרים רבים, ברירת מחדל של סריקות המתבצעות על ידי תוכנות אבטחה היא להציע למשתמש אפשרויות ניקוי. לרוב, משתמשים פשוט יסגרו חלונות מסוג זה מבלי לבצע כל ניקוי – פעולה זו תשאיר את האיום במערכת.

• להגדיר סיסמת הגנה לתוכנת האבטחה בתחנות ובשרתים על מנת למנוע הסרה ידנית, שינוי הגדרות או נטרול שלה (מומלץ להגדרה על ידי הפוליסי של ה - ESET KISS שלנו).
  ברוב המקרים בהם חודרת תוכנת כופר למערכת, היא תנסה להסיר או לנטרל את תוכנת האבטחה כדי שלא "תפריע" לה.

• להגדיר זיהוי של תוכנות לא רצויות / לא בטוחות (מוגדר בברירת מחדל על ידי הפוליסי של ה - ESET KISS שלנו).
  תוכנות לא רצויות או לא בטוחות עלולות לאפשר לנוזקות כופר דריסת רגל ראשונית ברשת. יש לוודא שתוכנת ההגנה ברשת מזהה גם תוכנות מסוג זה.

• יש להגדיר דו"חות והתראות על איומים ברשת.
  חשוב תמיד להישאר בבקרה על איומים שנמצאים ברשת, לכן חשוב להגדיר דו"חות והתראות אוטומטיים ומותאמים לאיומים שזוהו.
  יחד עם זאת, חשוב לשים לב לאיומים שחוזרים על עצמם – גם אם הם מנוקים מהמערכת. לדוגמא, אם נוזקה אותרה על ידי תוכנת האבטחה ונמחקה, אך מזוהה כל פעם מחדש, יש לחקור זאת לעומק כדי לוודא שלא קיים מנגנון של APT.

5. במידה ונעשה שימוש בשירות Remote Desktop יש להקפיד לפעול על פי ההמלצות הבאות:

• יש להשתמש ב VPN או באימות דו-שלבי (2FA) או שילוב של שניהם. ניתן להשתמש במוצר ESET Secure Authentication להבטחת האימות הדו-שלבי.
• יש להגדיר סיסמה מורכבת, מומלץ להשתמש ב- Passphrase (ביטוי המורכב ממספר מילים) ולא Password (אותיות ומספרים). משפטים שמשמשים כסיסמאות הם הרבה יותר בטוחים וקשים לפריצה.
• מומלץ שלא להשתמש בחשבונות עם הרשאות Domain Admin לחיבור RDP שמגיע מחוץ לרשת.
• החלפת פורט ברירת מחדל מפורט 3389 לפורט מעל 50,000. חשוב להבין שהחלפה של הפורט לא תמנע התקפות אלא תפחית במידה מסוימת התקפות אוטומטיות.