Máme zálohy – stačí to?

Zálohy jsou základ, ale nestačí. Moderní ransomware cílí i na zálohy. Potřebujete offline/immutable zálohy, pravidelné testování obnovy a vícevrstvou prevenci.

Máme platit výkupné?

Nedoporučujeme. Zaplacení nezaručuje dešifrování dat a financuje další útoky. Vždy je lepší investovat do prevence a funkčních záloh.

Jsme malá firma – jsme vůbec cíl?

Ano. Malé firmy jsou často snadnější cíl kvůli slabší ochraně. Automatizované útoky necílí podle velikosti, ale podle zranitelnosti.

Ochrana proti ransomware pro firmy

Proč je ransomware kritická hrozba

Ransomware je škodlivý software, který zašifruje firemní data a útočníci požadují výkupné za jejich odblokování. Útoky cílí stále více na malé a střední firmy, protože mají slabší ochranu než korporace. Průměrná doba výpadku po ransomware útoku je 21 dní, průměrné náklady na obnovu v řádu milionů korun – a to i bez zaplacení výkupného.

Nejčastější vektor útoku je phishingový e-mail s infikovanou přílohou, nezabezpečený vzdálený přístup (RDP) nebo zneužití nezáplatované zranitelnosti v software.

Náš přístup – 4 fáze ochrany

1. Prevence

Cíl: snížit pravděpodobnost úspěšného útoku na minimum.

Audit zranitelností a bezpečnostní hardening systémů
Patch management – pravidelné aktualizace OS a aplikací
Endpoint protection (Sophos, Defender for Endpoint)
Segmentace sítě – omezení šíření malware
MFA (vícefaktorové ověřování) na všech vzdálených přístupech
Školení zaměstnanců v rozpoznávání phishingu

2. Detekce

Cíl: odhalit útok co nejdříve, než způsobí rozsáhlé škody.

24/7 monitoring podezřelé aktivity na endpointech a v síti
Alerting na anomálie (hromadné šifrování souborů, neobvyklý síťový provoz)
Pravidelné skenování zranitelností

3. Reakce (Incident Response)

Cíl: minimalizovat dopad útoku, pokud k němu dojde.

Okamžitá izolace napadených systémů
Forenzní analýza – jak se útočník dostal dovnitř
Komunikace s managementem a zaměstnanci
Koordinace s NÚKIB a Policií ČR dle potřeby

4. Obnova

Cíl: obnovit provoz co nejrychleji z čistých záloh.

Obnova dat ze záloh (offline zálohy, immutable backup)
Reinstalace a hardening napadených systémů
Testování integrity obnovených dat
Postincidentní analýza a implementace opatření proti opakování

Případová studie

Řešili jsme případ společnosti, která čelila ransomware útoku. Útočník pronikl přes nezabezpečený RDP přístup a zašifroval fileserver i zálohy na NAS. Naše reakce zahrnovala: okamžitou izolaci sítě, identifikaci vektoru útoku, obnovu dat z offline záloh (které naštěstí existovaly), kompletní reinstalaci serverů s bezpečnostním hardeningem, nasazení endpoint protection a segmentaci sítě. Provoz byl obnoven do 72 hodin.

Časté dotazy k ochraně proti ransomware

Máme zálohy – stačí to?: Zálohy jsou základ, ale nestačí. Moderní ransomware cílí i na zálohy. Potřebujete offline/immutable zálohy, pravidelné testování obnovy a vícevrstvou prevenci.
Máme platit výkupné?: Nedoporučujeme. Zaplacení nezaručuje dešifrování dat a financuje další útoky. Vždy je lepší investovat do prevence a funkčních záloh.
Jsme malá firma – jsme vůbec cíl?: Ano. Malé firmy jsou často snadnější cíl kvůli slabší ochraně. Automatizované útoky necílí podle velikosti, ale podle zranitelnosti.