Как защитить свои данные от программ-вымогателей и двойного вымогательства с помощью Zscaler

9 февраля 2023

Вредоносное ПО уже много лет является злейшим врагом организаций по всему миру. Особенно опасным противником являются программы - вымогатели. Они блокируют файлы жертв с помощью шифрования и требуют выкуп за расшифровку, это эффективная тактика для киберпреступников. В последнее время новости пестреют информацией о регулярных успешных атаках программ-вымогателей.

Мошенники постоянно совершенствуют свои действия и недавно перешли к двойному вымогательству. Они угрожают утечкой конфиденциальных файлов жертв, чтобы увеличить шансы на выплату выкупа. Атаки на цепочки поставок как в случае с компанией Kaseya — еще один пример растущей изощренности программ-вымогателей. Если вы станете жертвой атаки, это может привести к нарушению бизнес-операций, нанести ущерб репутации бренда, привести к значительным финансовым затратам и прочее.

Злоумышленники постоянно ищут легкую добычу для атаки, чтобы проникнуть в систему защиты предприятия, и в последние годы приложения SaaS стали привлекательной добычей. Такие приложения предназначены для обеспечения быстрого обмена файлами, совместной работы и автоматизации. В результате программы-вымогатели после успешного внедрения могут распространяться на подключенные приложения и на устройства пользователей. Программы SaaS содержат большое количество файлов, которые можно украсть и использовать для двойного вымогательства.

При наличии в SaaS-решениях неправильных конфигураций, создаются опасные лазейки, предоставляющие доступ злоумышленникам.

Почти ни одно приложение SaaS не обеспечивает встроенную защиту от угроз, а тем немногим из них не хватает технологических возможностей для выявления угроз нулевого дня. Они ограничены обнаружением известных угроз. Устаревшие технологии безопасности (в виде локальных аппаратных устройств, которым не хватает масштабируемости) еще больше усложняют ситуацию, поскольку они не предназначены для защиты от вредоносных программ или защиты данных в облаке.

Недостатки, которые требуют решения

Организациям необходима комплексная защита от распространения вредоносных программ и программ-вымогателей как внутри, так и между приложениями SaaS. Это требует использования решения безопасности, разработанного для современного облачного мира и способного защитить от вредоносного ПО любого пользователя, устройство и приложение в любой сети (без необходимости передачи трафика на локальное устройство).

Такое решение должно предотвращать загрузку зараженных файлов в облачные приложения, а также выявлять угрозы, которые уже проникли в облако. Организации также должны быть уверены, что выбранное ими решение может защитить от любых угроз, включая программы-вымогатели нулевого дня, а не только известные вредоносные программы. В случае атак с двойным вымогательством предприятия также должны иметь возможность защитить свои данные от эксфильтрации через SaaS.

Управление «цепочкой уничтожения» с помощью облачной DLP-системы

Когда программа-вымогатель успешно проникает в организацию, киберпреступники обычно начинают быстро присваивать данные. Как упоминалось выше, кража данных и угроза их утечки — распространенная стратегия для увеличения шансов на выплату выкупа. Чтобы двойное вымогательство было эффективным, злоумышленникам необходимо успешно извлечь данные из предприятия.
Именно на этом этапе предотвращение потери данных в облаке ( DLP ) становится особенно ценным. Ведущие решения DLP тщательно проверяют содержимое и контекст исходящих файлов и предотвращают их перемещение по мере необходимости, чтобы предупредить утечку. Это прерывает цепочку атак, не позволяя злоумышленникам похищать данные из приложений SaaS.

Как CASB помогают бороться с программами-вымогателями

Брокеры безопасности облачного доступа (CASB) служат точками наблюдения и контроля в облаке и могут помочь с проблемами, связанными с программами-вымогателями. В частности, многорежимный CASB проксирует трафик для защиты данных в режиме реального времени и интегрируется с интерфейсами прикладного программирования (API) для защиты облака. Следовательно, он предотвращает загрузку вредоносных файлов в приложения SaaS и реагирует на вредоносные приложения и программы-вымогатели, которые уже существуют внутри корпоративных облачных решений.

Ведущие центры CASB обеспечивают расширенную защиту ( ATP ), способную выявлять любые угрозы — даже программы-вымогатели нулевого дня — благодаря тесной интеграции с облачной песочницей. Будучи облачными решениями, ведущие CASB не требуют аппаратных устройств в центрах обработки данных и обеспечивают масштабируемую, повсеместную защиту.

Исправление неправильных конфигураций с помощью CSPM

При развертывании и управлении приложением SaaS или экземпляром IaaS необходимо правильно применить множество параметров конфигурации, чтобы обеспечить безопасную работу приложения. При наличии неправильных конфигураций злоумышленники могут получить доступ к корпоративным системам; например, для размещения полезной нагрузки программы-вымогателя или эксфильтрации данных для двойного вымогательства.

Управление состоянием безопасности в облаке (CSPM) устраняет такие уязвимости, выявляя дорогостоящие неправильные конфигурации, которые могут быть использованы злоумышленниками. Например, если к репозиториям конфиденциальных данных (например, сегментам хранилища AWS S3) можно получить открытый доступ из Интернета по причине неверной конфигурации, проблему можно быстро обнаружить и устранить.

Выбор эффективного подхода к защите с помощью Zscaler

Комплексный подход помогает остановить программы-вымогатели на протяжении всей «цепочки уничтожения» без сложностей, связанных с развертыванием и управлением несколькими точечными продуктами. Zscaler Cloud DLP, CASB и CSPM являются основными компонентами интегрированной Zero Trust Exchange , наряду с ведущими технологиями SWG и ZTNA. Другими словами, в Zscaler есть все необходимое для комплексной защиты компаний от вредоносных программ и программ-вымогателей (а также для удовлетворения их требований к безопасному доступу (SASE)).

Zscaler DLP обеспечивает глубину функциональных возможностей, необходимых для предотвращения кражи данных и двойного вымогательства из настраиваемых словарей для точного сопоставления данных (EDM) и сравнения индексированных документов (IDM). Многорежимный CASB защищает корпоративные приложения SaaS от вредоносных и программ-вымогателей. Угрозы в пути обнаруживаются и блокируются через прокси-сервер в реальном времени. А вредоносные файлы в состоянии покоя могут быть идентифицированы и помещены в карантин или удалены через API.

Передовая технология расширенной защиты от угроз (ATP) совершенствуется благодаря 160 миллиардам ежедневных транзакций платформы и 100 миллионам обнаруженных угроз каждый день. Облачная песочница Zscaler, основанная на машинном обучении, безопасно выявляет и блокирует угрозы нулевого дня как при загрузке, так и при хранении. Платформа CSPM сканирует экземпляры SaaS и IaaS на наличие потенциально неправильных конфигураций, которые могут привести к атакам. Решение расставляет приоритеты по выявленным рискам и дает организациям возможность реагировать до того, как злоумышленники смогут предпринять действия.