Phần mềm độc hại Smb: các mối đe dọa là gì và tại sao chúng trở nên tồi tệ hơn?

Làm thế nào xấu là cảnh quan đe dọa phải đối mặt với các doanh nghiệp vừa và nhỏ (SMB)? Trong một từ: xấu. Thực sự tồi tệ. Và nó đang trở nên tồi tệ hơn. Lý do mà SMB hiện đang là tâm điểm của tin tặc là vì chúng, như chúng ta thường mô tả nó trong thời Hải quân của tôi, "một môi trường giàu mục tiêu". Có rất nhiều SMB chiếm phần lớn trong tất cả các doanh nghiệp. Và họ, như một lớp, được bảo vệ kém nếu họ bảo vệ tất cả.

Và trong khi các công ty nhỏ hơn có thể không có những đồng đô la để ăn cắp, điều đó thực sự không quan trọng. Hầu hết tội phạm mạng không thể có được số tiền lớn vì dù sao các công ty dịch vụ tài chính có tất cả số tiền này được bảo vệ quá tốt. Cố gắng hack chúng là một sự lãng phí thời gian. Nhưng chất thải cho SMB thường là một miếng bánh. Trong nhiều trường hợp, sự bảo vệ của họ còn thô sơ, nhân viên an ninh của họ (nếu có) được đào tạo kém, và trong khi ngân sách bảo mật của họ thay đổi, thường là giữa ít và không có. Từ quan điểm của kẻ xấu, bạn sẽ nhận được nhiều tiền hơn và tài sản hữu ích cho những nỗ lực của bạn từ SMBs.

Tất cả điều này có nghĩa là, với tư cách là nhân viên IT trong một công ty nhỏ hơn, bạn sẽ phải đối mặt với một loạt các cuộc tấn công từ nhiều loại vũ khí khác nhau và bạn sẽ có ít tài nguyên hơn và ít thời gian hơn để làm bất cứ điều gì về nó. Hãy nhắc nhở bản thân rằng điều này xây dựng nhân vật.

Biết các danh mục phần mềm độc hại

Sắp xếp các loại phần mềm độc hại mà bạn có thể thấy là gần như vô nghĩa vì chúng thay đổi theo ngày. Điều hữu ích hơn là chỉ ra các loại phần mềm độc hại chung và thảo luận về những gì cần tìm. Điều quan trọng là phải nhận ra rằng tên cụ thể của phần mềm độc hại ít quan trọng hơn mục tiêu cuối cùng của nó. Là kẻ xấu sau tiền, tài sản, hoặc sở hữu trí tuệ (IP)? Trong một số cách, những điều đó quan trọng hơn các chi tiết cụ thể về cách chúng tấn công.

Stu Sjouwerman, người sáng lập và CEO của KnowBe4, nói rằng, cuối cùng, các cuộc tấn công chính vào SMB là nhằm mục đích cung cấp ransomware hoặc chúng nhằm vào gian lận của CEO. Nhưng cũng có rất nhiều cuộc tấn công vào các tài sản có hình thức tấn công khai thác tiền điện tử. Khai thác tiền điện tử chiếm lấy các máy chủ của bạn, trên cơ sở của bạn hoặc trên đám mây và sử dụng hết khả năng tính toán của bạn để khai thác tiền điện tử.

Các cuộc tấn công gian lận của CEO cố gắng thu thập đủ thông tin để họ có thể giả mạo email của CEO của bạn và khiến bộ phận kế toán của bạn gửi tiền cho họ. Và, tất nhiên, ransomware được thiết kế để ngăn truy cập vào dữ liệu của bạn cho đến khi bạn trả tiền. Sau đó, sau khi bạn trả tiền, họ có thể khôi phục dữ liệu của bạn (hoặc họ có thể không).

Phần mềm độc hại được gửi như thế nào

Trong hầu hết mọi trường hợp, các cuộc tấn công này đến qua email dưới dạng một cuộc tấn công lừa đảo. Đôi khi, bạn sẽ thấy chúng đến từ một trang web bị nhiễm, nhưng email lừa đảo tạo thành vectơ quan trọng nhất trong các cuộc tấn công như vậy.

Phần mềm độc hại được phân phối thường là một cái gì đó giống như Dharma, vẫn còn tồn tại mặc dù nó là một trong những chủng ban đầu. Điều thay đổi là Pháp (và các biến thể của Petya) hiện đang được phân phát thành từng mảnh đến trên các vectơ khác nhau. Bạn có thể tìm thấy một phần hiển thị dưới dạng tệp .NET, các phần khác được phân phối dưới dạng tệp JavaScript được ngụy trang và các phần khác là các ứng dụng HTML. Phần mềm bảo mật của bạn có thể sẽ không bao giờ nhận thấy.

Bảo vệ chống phần mềm độc hại

"Diệt virus truyền thống đã chết." Sjouwerman giải thích. "Nếu bạn thực sự muốn bảo vệ chống lại kiểu tấn công này, bạn muốn bảo vệ điểm cuối thế hệ tiếp theo." Sjouwerman nói rằng ba ví dụ về bảo vệ điểm cuối thế hệ tiếp theo bao gồm Carbon Black, Endgame và Fireeye.

Ông cũng nói rằng điều quan trọng là bạn tập trung vào việc vá lỗi. "Xác định 10 ứng dụng được sử dụng nhiều nhất trong tổ chức của bạn. Hãy vá chúng một cách tôn giáo. Hãy áp dụng quy trình cấp vũ khí để bạn luôn có phiên bản mới nhất."

Cuối cùng, ông nói rằng bạn sử dụng đào tạo nâng cao nhận thức an ninh trường học mới. Sjouwerman mô tả đào tạo ở trường học mới là sử dụng các cuộc tấn công mô phỏng, tiếp theo là đào tạo khắc phục, thường xuyên và thường xuyên, bao gồm các cuộc tấn công kỹ thuật xã hội. Ông chỉ ra rằng phát hiện phần mềm độc hại tự động sẽ không bao giờ là đủ. Bạn cần xây dựng một bộ công cụ bảo mật mà mọi người dùng mạng phải sử dụng thông qua chính sách bằng văn bản hoặc mặc định.

Ví dụ, thậm chí SMB có thể triển khai một hệ thống quản lý nhận dạng mạnh mẽ khá dễ dàng như một dịch vụ đám mây, điều này sẽ cho phép các nhà quản lý CNTT kiểm soát truy cập ở cấp độ chi tiết và thực thi mật khẩu mạnh hơn ở cấp máy chủ. Một ví dụ khác là lướt web thông qua một thiết bị thuộc sở hữu doanh nghiệp, điều này bắt buộc chỉ xảy ra thông qua mạng riêng ảo (VPN), thông qua các máy chủ của nhà cung cấp dịch vụ hoặc những người trong trung tâm dữ liệu của bạn.

• Cách xóa phần mềm độc hại khỏi PC của bạn Cách xóa phần mềm độc hại khỏi PC của bạn
• Bảo vệ ransomware tốt nhất cho năm 2019 Bảo vệ ransomware tốt nhất cho năm 2019
• Bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công phần mềm độc hại tiền điện tử Bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công phần mềm độc hại tiền điện tử

Nếu có vẻ như thực sự không có nhiều thứ thực sự mới, thì đó có lẽ là sự thật. Nhưng có rất nhiều phần mềm độc hại đang được sử dụng theo những cách mới. Ví dụ: sử dụng phần mềm đã có sẵn để tạo một cuộc tấn công là một phương tiện ngày càng tăng để truy cập vào mạng. Một ví dụ là trojan truy cập từ xa FlawedAmmyy (RAT), đây là một RAT được xây dựng trên phần mềm quản trị từ xa Ammyy Admin. RAT này cho phép kẻ tấn công chiếm lấy mọi thứ trong máy tính mục tiêu, cho chúng khả năng có được những gì chúng cần cho các cuộc tấn công tiếp theo.

Đầu tư vào các công cụ chống phần mềm độc hại phù hợp

Nhưng đối với bất kỳ trong số này để làm việc, họ cần một vectơ (đó là một con đường). Gần đây, vectơ chính cho hầu hết các cuộc tấn công là email. Một email lừa đảo thường làm điều đó, nhưng đôi khi email có thể chứa phần mềm độc hại trong tệp đính kèm. Dù bằng cách nào, một người nào đó cần phải nhấp vào cái gì đó sẽ giải phóng sự lây nhiễm. Tất nhiên, một ý tưởng tốt là triển khai biện pháp chống lừa đảo và chống trojan trên hoặc gần máy chủ email của bạn, đó là lý do tốt để xem xét nhà cung cấp email được lưu trữ nếu nhân viên CNTT của bạn thiếu kỹ năng email để thực hiện điều đó.

Mặc dù có một số loại phần mềm độc hại mới xuất hiện liên tục, nhưng bộ phận bảo mật hoặc bộ phận bảo mật của SMB không thể theo kịp chúng. Giải pháp thực sự duy nhất là đầu tư vào các công cụ phù hợp và đào tạo đúng. Cách tốt nhất để chống lại phần mềm độc hại là không cho phép nó vào mạng của bạn ngay từ đầu. Bạn có thể làm điều đó với một số bảo vệ điểm cuối tốt và đào tạo tốt.