Рансъмуер устойчивост: как да оцелеете при “когато”, не “ако”

Рансъмуерът отдавна не е „само криптиране на файлове“. Днес най-често виждаме:

  • кражба на данни + изнудване (double extortion),
  • спиране на критични услуги,
  • таргетиране на бекъпи и админ акаунти,
  • натиск през партньори и доставчици.

Реалистичният въпрос не е „ще ни атакуват ли“, а колко бързо ще открием, ограничим и възстановим.

Най-честите входни точки

  • фишинг и компрометирани акаунти;
  • RDP/VPN с лоша конфигурация или изтекли пароли;
  • уязвими публични услуги и забавено patch-ване;
  • компрометирани доставчици (supply chain);
  • незащитени admin пътеки и плоска мрежа.

7 слоя рансъмуер защита (практичен модел)

1) Идентичности: MFA + conditional access + контрол на админите

  • MFA за всички критични точки (email, VPN, админ панели, cloud);
  • conditional access (рискови логини, устройства, локации);
  • отделни админ акаунти (без ежедневна употреба);
  • JIT админ достъп, когато е възможно.

Цел: компрометиран „обикновен“ акаунт да не може да стане „домейн админ“.

2) Endpoint защита: EDR, hardening и изолиране

EDR е основна защита срещу рансъмуер, но трябва да е:

  • добре конфигуриран (политики, аларми, изолиране);
  • с видимост върху процеси, registry, поведение на файлове;
  • интегриран с логинг/аларми, ако имате SOC.

Бързи подобрения:

  • блокиране на известни техники (например изпълнение от temp директории, макроси по политика, ако е приложимо);
  • ограничаване на локални админ права.

3) Мрежа: сегментация и ограничаване на lateral movement

Рансъмуерът печели, когато има свободно движение.

Минимум:

  • отделни сегменти за потребители, сървъри, админ системи;
  • ограничения за админ протоколи от потребителски мрежи;
  • jump box за администрация;
  • отделяне на backup инфраструктурата от домейна, когато е възможно.

4) Бекъпи, които рансъмуерът не може да унищожи

Най-силната защита срещу изнудване е възстановяване.

Препоръчан подход:

  • правило 3-2-1: 3 копия, 2 различни носителя, 1 офлайн/изолирано;
  • immutable/append-only бекъпи (ако платформата позволява);
  • отделни права/акаунти за backup (не споделяни с домейн админи);
  • редовни тестове за restore (не само „бекъпът е успешен“).

Ключов въпрос: „Колко време ни трябва да възстановим критичните системи?“ (RTO) и „колко данни можем да загубим?“ (RPO)

5) Patch management и управление на уязвимости

Рансъмуерът често използва известни дупки.

  • инвентар на активи;
  • приоритизация: интернет-експонирани и критични системи първо;
  • ясни прозорци за обновяване;
  • контролирано тестване за ключови услуги.

6) Обучение и процес за докладване

Хората са част от защитата, когато имат:

  • кратки, регулярни обучения (по 10–15 мин);
  • примери за реални фишинг атаки;
  • лесен канал за докладване („един бутон“ или конкретен имейл/тикет).

7) План за реакция и упражнения (tabletop)

Инцидентният план трябва да отговаря на:

  • кой взима решенията;
  • как изолираме (endpoint, мрежа, акаунти);
  • как събираме доказателства и логове;
  • как комуникираме (вътрешно и към клиенти/партньори);
  • как възстановяваме по приоритет.

Практика: tabletop упражнение 1–2 пъти годишно, за да не се чете планът „за първи път“ по време на криза.

Чеклист: “Ransomware readiness” за 1 час самооценка

Отговорете с Да/Не:

  • Имаме MFA за email/VPN/admin?
  • Имаме отделни админ акаунти и минимални привилегии?
  • Имаме EDR на всички критични endpoints и политики за изолиране?
  • Имаме сегментация и ограничено lateral movement?
  • Имаме immutable/offline бекъп и тестове за restore?
  • Имаме актуален инвентар и patch процес?
  • Имаме IR план и проведено упражнение последните 12 месеца?

Колкото повече „Не“, толкова по-висок е рискът и цената на инцидента.

Рансъмуер устойчивостта се изгражда – с комбинация от идентичности, endpoint защита, сегментация, неунищожими бекъпи, patch дисциплина и трениран план за реакция. Целта не е „никога да не се случи“, а да се случи и да се възстановите бързо и контролирано, без паника.