Firma RICOH, ako systémový integrátor, prichádza s riešením, ktoré pomôže výrazne znížiť dopady ransomvéru na vaše súbory.

Pracuje inak ako bežné ochrany voči tejto hrozbe a sústreďuje sa na riešenie následkov po napadnutí akýmkoľvek typom ransomvéru. To je jeho hlavná výhoda a odlišný spôsob koncepcie umožní firmu ochrániť od potreby platiť výkupné alebo prechádzať zložitým procesom obnovovania súborov.

RICOH RansomCare je založený na technológii BullWall a ide o unikátnu technológiu, ktorá v reálnom čase vyhodnocuje zmenu v monitorovaných zónach (adresároch). Výhodou tejto technológie je, že je prakticky nezávislá od vašej firemnej štruktúry. Jej úlohou je chrániť zdieľané úložiská a priečinky, kam používatelia zapisujú svoje dáta. Jediné, čo na svoj beh potrebuje, je virtuálny stroj alebo vyhradený počítač. Je na firme, ktoré riešenie je pre ňu jednoduchšie. Je tu len jedna minimálna požiadavka a tou je použitie Microsoft Windows Server 2019 a vyšší.

Univerzálne riešenie

RICOH RansomCare funguje vo virtuálnych prostrediach, ako sú servery Citrix, Hyper-V, VMware a cloud ako napríklad SharePoint, Google Drive a Microsoft 365.

Vzhľadom na to, že riešenie nepotrebuje agentov na lokálnych počítačoch používateľov alebo iných koncových bodoch, ako napríklad súborových serveroch, nemá vplyv na výkon siete a počítačov/koncových staníc. Monitorovanie je na základe využitia informácií z SMB/SAMBA protokolov. Inštalácia tohto typu ochrany môže prebiehať  na diaľku.

Okrem širokej podpory ochrany rôznych typov úložísk je tu aj dvojcestná podpora v rámci rozhrania RestFul API. Vďaka tomu dostanete informáciu o probléme aj prostredníctvom vášho antivírusového systému. Spomenúť môžeme napríklad Windows Defender, Symantec, TrendMicro.

Odlišný prístup, vyššia účinnosť

Proaktívna ochrana, o ktorú sa snažia mnohé bezpečnostné riešenia, má nevýhodu v tom, že musí hrozbu poznať. Akonáhle príde nový ransomvérový kód, ktorý unikne pozornosti bezpečnostného riešenia, firma sa nežiaducemu zašifrovaniu súborov nevyhne. Prístup tohto riešenia je odlišný hneď v niekoľkých smeroch.

Nasadenie tejto ochrany do firmy je podmienené niekoľkými fázami. V prvej fáze prebieha zber informácií. Softvérové riešenie bude sledovať zvyky používateľov v monitorovaných zónach, ako tu pristupujú k jednotlivým súborom, ktoré súbory sa menia a akým spôsobom a na základe toho si vytvorí akýsi odtlačok systémového správania. Vďaka tomu je riešenie RICOH RansomCare schopné zachytiť aj takzvané Zero-Day hrozby. A to už v priebehu niekoľkých sekúnd. Z pohľadu praktického nasadenia a účinnosti sa dá o tomto riešení hovoriť ako o poslednej vrstve vašej ochrany.

Zdroj: Ricoh

Rýchle sprevádzkovanie

K nespornej výhode patrí aj rýchlosť nasadenia takéhoto riešenia. Počítať môžete s 2 až 6 hodinami. V nasledujúcom kroku prebieha sledovanie systémov, na ktorých je riešenie nasadené. Zbierajú sa vyššie spomínané údaje a zvyky používateľov.

Kombinovanými mechanizmami, ktorými toto riešenie disponuje, sa dá zaistiť 96 % úspešnosť v odhaľovaní neoprávneného šifrovania pri odovzdávaní zákazníkovi do ostrej prevádzky. Je to aj na základe toho, že systémy vo firme sú 4 až 6 týždňov sledované. Ale tým to nekončí, machine learning prebieha aj naďalej počas celej doby používania tohto riešenia.

Ak používatelia bežne šifrujú súbory na rôznych úložiskách, nebude to z pohľadu ochrany rozpoznané ako útok a nespustí sa varovanie. Pôjde o legitímne správanie. Akonáhle však šifrovanie spustí iný nástroj, než bežne používaný počas sledovacieho obdobia, bude aktivita vyhodnotená a na základe toho sa pristúpi k zvoleniu ochrany. Všetko funguje automaticky a počas útoku nie je potrebný ani zásah administrátora.

Súkromie a prístupy

Firmy sa nemusia obávať o svoje súkromie, pretože toto riešenie potrebuje len prístup k takzvaným logom, čiže záznamom aktivity – a oprávnenie READ ONLY. Na základe nich rozpoznáva rizikové správanie a podáva informácie v reálnom čase. Na monitorovacej konzole správcovia vidia činnosť v rámci sieťových zariadení a akonáhle vznikne istý typ anomálie alebo na pohľad netradičnej činnosti, zobrazí sa varovanie.

V prípade, že bude rozpoznaný útok ransomvérom a prichádza k neoprávnenému zašifrovaniu súborov, odstaví sa konkrétne zariadenie a používateľ od siete. Tým sa znemožní ďalší prístup na zdieľané úložiská. Tento používateľ bude kompletne izolovaný, vrátane jeho zariadenia a takisto aj budúcej možnosti pripojiť sa do siete, napríklad cez protokol VPN.

Konzola Ricoh RansomcareZdroj: Ricoh
Konzola Ricoh Ransomcare

Cloud nie je bezpečnejší

Mnohí by mohli argumentovať, že používajú cloudové riešenia na ukladanie alebo zálohu firemných dát. Ako však analytici firmy poukázali, tieto riešenia nebývajú bezpečnejšie ako iné typy úložísk, minimálne nie z pohľadu útoku ransomvéru.

Na príklade uvedenom vyššie by v bežnej praxi táto situácia znamenala zašifrovanie niekoľkých tisícok súborov v priebehu pár sekúnd. Pri porovnaní s riešením RansomCare to znamená zašifrovanie niekoľkých jednotiek súborov namiesto desaťtisícov. Bežný ransomvérový útok dokáže zašifrovať až desaťtisíc súborov za minútu.

Bezpečnostné riešenie je nezávislé od architektúry firmy a od spôsobu, akým príde k neoprávnenému šifrovaniu. Môže ísť o útok zvonku či už priamo z internetu alebo o útok zvnútra siete. Rizikom sú samotní používatelia, ktorí môžu omylom spustiť ransomvérový škodlivý kód z pripojených USB zariadení.

Financovanie

Licencovanie tohto riešenia prebieha na základe používateľských pripojení do služby Active Directory. Jeden používateľ znamená jednu licenciu, pričom minimálny počet je už 50 licencií. Riešenie je možné zakúpiť si na 1, 3 alebo 5 rokov. Finálna cena pozostáva z počtu licencií a ceny za implementáciu riešenia vo firme. Platí sa vo forme predplatného a za každé časové obdobie sa platí rovnaká cena.

Prečítajte si aj:

Značky:

Michal Reiter

Michal Reiter
Publikujem o dianí na internete, súkromí, bezpečnosti a testujem notebooky, smartfóny, audio produkty a ďalšie gadgety.

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.