暗号化ランサムウェアを検出して軽減するための手法？

絶対的な障壁はありませんが、マルウェアに対して非常に困難にすることができ、フィルタリングとバックアップだけではありません。

成功するために、暗号ランサムウェアが何をしなければならないかを考えてください。

1. データを使用してシステムに到達する（技術、ポリシー、人員の3つのハードルを超えることを含む）
2. 検出されないまま
3. 正常に実行（実行）
4. あなたが支払わなければ、あなたは実質的に失われたデータの位置にあなたを置きます。

これらはすべて、あなたが制御できるハードルです。

正確な方法とツールはプラットフォームに依存するため、これはWindowsの用語で説明されていますが、原則は他のシステムにも適用されるはずです。

システムへの到達

（注：そのシステムの書き込み可能なファイル共有への到達を含み、システム自体に到達する必要がない場合があります）

これは「境界保護」の領域です。技術的な方法、政策、人間のノウハウという3つの広い側面があります。

境界保護の最初の部分では、適切に設定されたファイアウォールの使用、ゲートウェイでのマルウェアフィルタリング、ネットワークの機密セクションと「パブリック」セクションの分離について説明します。

ポリシーには、ITシステム管理に関する適切なポリシーと実践（システムの仕組み、セキュリティとテスト/構成への変更がどのように行われるか、アクセス許可など）とその実施と、USBスティックの規律、モバイルなど、スタッフの使用に適用可能なポリシーが含まれます。/notebooks/bring-your-own-device、およびその他のプラグ可能なデバイス。リモートアクセスを許可すると、セキュリティで保護されます。脆弱性アセスメントを実施したり、結果をフォローしたりすることはありますか？セキュリティログが保持され、適切なアラートが設定されていますか（実際に調整されているため、人々が無視する煩わしさだけではありません）。これらはすべて、ポリシーがカバーする種類のものです。

境界保護の3番目の部分は、ユーザー（またはスタッフ）による十分な理解です。彼らは知る必要があることについて教育を受け、訓練されていますか？彼らはあなたの方針に従いますか、それとも彼らは邪魔になるので「彼らの周りで働きますか」？彼らは、フィッシングリンクと電子メールがマルウェアを受信する主な方法であることを理解していますか、そして何をチェックすべきか知っていますか？コンピュータに見慣れないメッセージ（有効なメッセージであるかどうかにかかわらず）が表示された場合、彼らは何をすべきか、そして誰が誰なのかわからない場合は知っていますか、それとも最初にクリックして後で質問しますか？ 「誰もがそれらを信頼する」という理由で、正当な信頼できるWebサイトや同僚からのメール、または連絡先メールがマルウェアによって頻繁に使用されることを知っていますか？彼らは何かがおかしいと感じた場合、プレッシャーや批判から安全だと感じ、愚かさ、邪魔にさせられたり、ビジネスを危険にさらしたりすることなく、名前を付けられた誰かとそれをチェックすることができますか？ （これはソーシャルエンジニアリングの領域であり、で繁栄します。「今すぐ実行する必要があります。適切に確認する時間はありません！」と "見栄えが悪くなる/ Xは怒る/私を混乱させない/私は大事だ！"）スタッフを関与させる、単に「高から指示する」だけではなく、結果が高レベルの「バイイン」になる可能性を高め、彼らがそれがいかに重要であるかを理解する。

検出

不審なアクティビティと「既知の不良」ファイルを監視するウイルス対策/マルウェア対策ソフトウェア。

2016年以降、特定のランサムウェア対策ソフトウェアも存在し始め、異常に暗号化されていないファイルに対する暗号化アクティビティの特徴的な兆候を監視しています。例としては、「CryptoDrop」（グーグルで学ぶ価値のある学術プロジェクト）、カスペルスキーなどの企業によるベータ製品などがあります。

実行

ほとんどのシステムには、ソフトウェアの実行を防止できる管理機能があります。 「cryptoprevent」（FoolishIT inc）のようなパッケージを見てください。Windowsには無料のバージョンがあり、「これらの場所にあるファイルやこれらの名前のファイルからのコードの実行を許可しない」などとWindowsに通知します。マルウェアの場所。他のシステムでもおそらく同様の機能があります。

データ損失防止

バックアップについて説明しましたが、上記のすべてが失敗した場合にデータの損失を防ぐ他の方法も存在します。ただし、クラウドバックアップと「別のマシンにコピー」された警告は、この目的のための「バックアップ」とは限りません。マルウェアがクラウドデータまたは他のマシンに到達できる場合、それはそれを上書きできる可能性があります（ストレージの動作方法によって異なります）。

データの損失/上書きから保護するために、バックアップだけでなく、検討する価値のある3つの追加の方法があります。

第1に、ウィンドウ（および私はほとんどのシステムを想像します）は、ファイルの変更時に古いバージョンのファイルの「スナップショット」を保持できます。 Windowsでは、「vss」-ボリュームスナップショットサービス（「システムの復元」がその上に構築されています）。ランサムウェアは、これらを呼び出して既存の「メモリ」を削除しようとするため、事前に暗号化されたバージョンに戻ることはできません。このような方法でvssプログラムが実行されないようにする設定の結果、古いバージョンのデータがある場合、古いバージョンのデータを削除しようとしても機能しません。すべてのランサムウェアを無効にするわけではありませんが、一部を無効にする必要があります。

次に、貴重なストレージとバックアップにFreeNASのようなものを使用します。データの整合性のために設計された無料で非常に評判の良いもの。マルウェアはファイルを削除する可能性がありますが、適切に構成されていれば、ファイルストアの以前の状態の1時間ごとまたは1/4時間ごとのスナップショットを削除できる可能性はほとんどありません。堅牢なデータ保護のために特別に設計されたファイリングシステムとしてzfsを使用するため、貴重なボーナス機能はストレージの整合性です。

3番目に、ファイルシステムのアクセス許可を使用して、ユーザーが実行できる操作とシステムの資格情報（ログインセキュリティ/デバイス証明書など）を制限します。 1つのバスケットにすべての卵を入れないでください。必要のないアクセス許可や、必要のないデータフォルダーへの書き込みアクセス権を付与しないでください。ユーザーが去ったとき、またはアクセス許可が不要になったときに、それらを取り消します。

最後：リモートシステム/アクセスおよびセキュリティ全般に関する一般的なコメント

上で述べたように、マルウェアは、マシンに保存されたファイルに害を与えるためにマシン上に存在する必要はありません。アンチウイルスはマルウェアを検出しますが、通常、他の場所にあるマルウェアが悪意を持ってファイルを書き込んでいるかどうかを判別することはできません。ソフトウェア実行制限にも同じ問題があります。そのため、それらは多くのことを追加しますが、データファイルを保持しているデバイスだけでなく、データファイルに接続されているデバイスで実行されているマルウェアを考慮する必要があることを覚えておいてください。

それはかなり遠くを考えることを意味します-「私のリモートワーカーの家が彼の子供のノートブックを介してハッキングされ、その人が家から働いてログインするとどうなるでしょうか？」または「B2Bアプリと仮想サーバーホストはどうなりますか？」顧客データベースがハッキングされたのはターゲットだったと思います。ハッカーは、ネットワーク化された脆弱な暖房コントローラーを介して侵入し、そこからメインネットワークに到達できました。あなたにアイデアを与えませんか？

したがって、「私のデータはワイヤーまたはWiFiで何に接続されているか」は長い方法になります。これが、優れたセキュリティが「階層化」されている理由です。1つまたは2つではなく、これらのいくつか/すべてを一緒に使用します。

すべてを保護することはできないため、計画では、フォールバック保護とは何かを検討する必要があります。つまり、感染したシステムが感染するのを阻止できない、または感染を検出できない、または停止できない場合にマルウェアの脅威にどのように対抗するかです。実行中のマルウェア、またはそのマシンへの拡散により、ファイルへのアクセスが許可されました。それは良い精神的な練習であり、「何を止めるべきか」と考えるのに役立ちます。