Embed Size (px)
Citation preview
1
- Ransomwareאיך להגן על הארגון
אשר גנחובסקי
2015פברואר
כללים בסיסיים
.בצורה נכונהEndpoint Securityהתקנה מלאה והגדרת מערכת •
Disableבמצב Autorunהגדרת הפעלה אוטומטית של קבצי •
.הגדרת מערכת המייל הארגונית נכון לחסימת קבצי הפעלה•
.הגדרת גישה לכונני רשת בצורה מוגבלת במידת האפשר•
.הגדרת מערכות האנטי וירוס השונות לקצב עדכון חתימות גבוה•
2
Ransomware–על מה מדובר
בשנה האחרונה התגברה משמעותית תופעת האיומים המצפינים 'וכדBitcoinsקבצים תוך דרישה לתשלום כופר מבוסס
, המחשב חוזר לתפקוד רגיל, בעוד שלאחר הסרת איום רגיל מהמחשבגם לאחר הסרת האיום מידע במחשב Ransomwareבאיומים מסוג
" נדבקים"מוצפן ובלתי נגיש ולכן יש ליצור מצב בו מחשבים אינם ישאר.ומוסרים לאחר מכן" נדבקים"כלל ולא
כדי להימנע מהדבקה יש לשמור על הכללים הבאים
.חינוך המשתמשים-
.מניעת הגעת קבצי הפעלה בדואר אלקטרוני-
חסימת הפעלה אוטומטית של קבצים-
"חשודים"הקשחת מערכת ההפעלה כדי למנוע הפעלת קבצים ממקומות -
ועדכון חתימות אגרסיבי SEPשימוש בכל יכולות מערכת ה -
3
SEP(1)-הגדרה נכונה של מערכת ה
Applicationכוללת את יכולת לבניית מדיניות מסוג SEPמערכת ה Control .מדיניות כזו ניתן למצור בלינק הבא:
http://www.symantec.com/connect/articles/first-response-cryptolocker-ransomcrypt-encryptor
:תיאור של המדיניות והסברים ניתן למצוא בלינק הבא
http://www.symantec.com/connect/sites/default/files/SampleADC_Policy_for_Cryptolocker.zip
4
SEP(2)-הגדרה נכונה של מערכת ה
קבצים לפי זהויויכולת SONAR–כוללת מנוע התנהגות SEPמערכת ה יש להקפיד על התקנה הפעלה של שני המנועים .Reputation–אמינות
.האלה
-SONAR
בצורה אגרסיבית יותר מאשר ברירת SONARניתן להפעיל את מנגנון ה . המחדל
-Reputation
של סימנטק Reputationיש לבדוק שכל תחנה מסוגלת להגיע לאתר ה : כמו שמוסבר בלינק הבא
http://www.symantec.com/business/support/index?page=content&id=TECH163042
5
DisableבמצבAutorunקבצי אוטומטית של הפעלה
אוטומטית של הפעלה אחת משיטת ההדבקה הנפוצות היא בעזרת קבצים עם חיבור רכיב אחסון חיצוני
:ניתן לנטרל את ההפעלה האוטומטית בשיטת הבאות
.Windows Hotfixהתקנת -
– Group Policyשימוש ב - GPO
Registryשנוי ערך ב -
SEPבמערכת ה Application Controlשימוש במדיניות -
.מידע על השימוש והפעלה של יכולות אלו ניתן למצוא במאמר הבא
http://www.symantec.com/business/support/index?page=content&id=TECH104447
6
חסימת קבצי הפעלה בתוך קבצי ארכיון במערכת הדואר
שיטה מקובלת להכנסת האיום לארגון היא בעזרת קבצי הפעלה בתוך כאשר לעיתים קרובות נצפה שימוש בסוגי קבצים פחות , קבצי ארכיון
. מוכרים על מנת לעקוף את מנגנוני החסימה במערכת המייל הארגוניתושימוש בסוגי ארכיון , EXEבמקום SCRלמשל שימוש בסיומת מסוג
CABמקובלים פחות כגון
.מדיניות חסימה יכולה להיות מוגדרת כך
יש לוודא כי פתרון ההגנה למערכת הדואר יודע לזהות ולחסום קבצי .הפעלה גם כאשר הם נמצאים בקובץ ארכיון
7
עדכון חתימות אנטי וירוס בקצב גבוה
, על מתקפות מבוססות מייל, מבוססותRansomwareרוב התקפות ה הכרחי Endpointובמערכת ה , עדכון חתימות אגרסיבי במערכת המייל
.על מנת להתגונן נגד התקפות
(פעמים ביום3-מעדכן כ )Endpointעדכון חתימות במערכת ה •
(דקות בערך30עדכון כל )עדכון חתימות במערכת ה מייל •
8
