Poradnik: Jak zabezpieczyć firmę przed ransomware?

Parę dni po głośnym ataku Ransomware Petya publikujemy poradnik, co możemy zrobić dla bezpieczeństwa swoich danych. 

W poprzednim artykule pisaliśmy o ogromnym wzroście ataków Ransomware w 2016 roku i kilku podstawach w kwestii zabezpieczeń. Byliśmy świadkami kolejnego zaawansowanego ataku Ransomware. Postanowiliśmy zatem powiedzieć trochę więcej o zabezpieczeniach sieci firmowej opartej na Microsoft Windows.

Microsoft opublikował raport opisujący atak Petya. Z informacji Windows Security wynika, iż rozprzestrzenianie rozpoczęło się na Ukrainie. Znajduje się tam 70% komputerów zainfekowanych. Łączną liczbę infekcji ocenia się na 20 tysięcy. Głównie jest to sprzęt pracujący pod kontrolą Windows 7.

Oznacza to, że skala ataku była dużo mniejsza niż w przypadku chociażby ransomware WannaCry, który znalazł się na setkach tysięcy komputerów na całym świecie.

Microsoft twierdzi, iż w marcu bieżącego roku załatał lukę, którą wykorzystali twórcy wirusów Petya i WannaCry. Rozwiązanie Petya było natomiast znacznie bardziej rozbudowane i będzie poddawane dalszym analizom. Oznacza to, że przejęte zostały te urządzenia, które nie były regularnie aktualizowane.

 

Jak zatem obniżyć ryzyko infekcji ?

Zacznijmy od podstaw:

  • Szyfrowane Kopie zapasowe: Nie łatwo zadbać o bezpieczeństwo, kiedy twórcy szkodliwego oprogramowania ciągle je przebudowują. Najważniejszym elementem jest zatem zniwelowanie możliwych skutków ataku. Każdy użytkownik w sieci oraz serwer powinien być zabezpieczony szeregiem Kopii bezpieczeństwa, które można w łatwy sposób przywrócić. Należy wdrożyć serwery plików lub nowoczesne rozwiązania chmurowe.
  • Regularne aktualizacje Windows 
  • Kontrola bezpieczeństwa serwerów: Aktualizacje zabezpieczeń, Konfiguracja Firewalla, Testowanie podatności na ataki poprzez Microsoft Baseline Security Analyzer (MBSA).
  • Szczególna ostrożność przy otwieraniu poczty e-mail: Nigdy nie należy otwierać załącznika ani klikać w linki, co do których nie mamy zaufania. Pojawiły się zagrożenia w formie pustych plików .pdf, posiadających ukryty link sieciowy do pliku w formacie .js . Proszę zwracać dokładną uwagę na nadawcę maila, a także na pole odbiorcy.
  • Regularne aktualizacje programów i wtyczek: Internet Explorer, Adobe Flash, Adobe Acrobat Reader, Java, Oprogramowanie Antywirusowe, Microsoft Outlook, Windows Live Mail, Outlook Express.
  • Konta pracowników firmy nie mogą być kontami administracyjnymi.

Zaawansowane propozycje:

  • Blokada wywoływań zdalnych poprzez PSEXEC – Zaawansowana warstwa ochronna wdrożona w systemach na Windows 7 (Ultimate, Enterprise, Proffesional), Windows 8.1 (oprócz RT i 8.0), Windows 10 (Wszystkie wersje), Windows Server 2008 R2, 2012, 2012 R2, 2016.
  • Wykorzystanie UEFI Secure Boot – chroni przed uruchomieniem komputera po wykryciu anomalii podczas bootowania. Nie ochroni natomiast przed już zaszyfrowanymi danymi – należy natychmiast wyłączyć komputer jeśli widzimy, iż trwa proces szyfrowania!
  • Blokada bądź restrykcje w protokole SMB – szczególnie w kwestii zdalnej administracji. Zalecane jest zablokowanie w sieci portu SMB 445. Ransomware Petya wykorzystywał program Samba – serwer plików wykorzystujących protokół SMB.
  • W Windows 10 Creators Update (Marzec 2017) wdrożono nowe systemy bezpieczeństwa takie jak KASLR, NX HAL, PAGE POOL, KCFG, HVCI. Zachęcamy do aktualizacji do najnowszego oprogramowania.
  • Device Guard – system zabezpieczeń blokujący urządzenia tak, aby mogło uruchamiać tylko aplikacje oparte na ustawieniach integralności. Oparty na certyfikatach i regułach dostępu do plików. Może działać również w trybie wirtualizacji na poziomie kernela Windows.
  • Zaprezentowane w Windows 10 Enterprise oraz Windows Server 2016 rozwiązanie Credential Guard używa systemu zabezpieczeń opartego na technikach wirtualizacji. Całkowicie chroni poświadczenia domen, utrudnia dalsze rozprzestrzenianie się Ransomware.
  • Wdrożenie Windows Defender Advanced Thread Protection
  • Active Directory Certificate Services – technologia bezpiecznego zarządzania certyfikatami kluczy publicznych
  • Firewall – połączenia wychodzące do Ukrainy / Rosji
  • Systemy w sieci VPN oraz SSL VPN

Sprawy organizacyjne:

  • Szkolenia pracowników
  • Regularne Audyty bezpieczeństwa
  • Dokonanie analizy ryzyka i obniżenia ryzyk
  • Polityka bezpieczeństwa

Dla odważnych:

  • Czy ktoś myślał o przeniesieniu firmy na Linux / MacOS? 🙂

Jeśli chcą Państwo zastosować tego typu zabezpieczenia zapraszamy do kontaktu z naszą firmą: Kontakt

Źrodło: Microsoft Windows Security Blog


<

Korzystając z naszej strony zgadzasz się na użycie cookies.  Polityka prywatności

1. Informacje ogólne.

1. Operatorem Serwisu jest INTAR Sp. z o.o. Al. Korfantego 105 pok.224 40-161 Katowice NIP: 6342585395 REGON: 240276822 KRS: 0000251048
2. Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniu w następujący sposób:
a. Poprzez dobrowolnie wprowadzone w formularzach informacje.
b. Poprzez zapisywanie w urządzeniach końcowych pliki cookie (tzw. „ciasteczka”).

2. Informacje w formularzach.

1. Serwis zbiera informacje podane dobrowolnie przez użytkownika.
2. Serwis może zapisać ponadto informacje o parametrach połączenia (oznaczenie czasu, adres IP)
3. Dane w formularzu nie są udostępniane podmiotom trzecim inaczej, niż za zgodą użytkownika.
4. Dane podane w formularzu mogą stanowić zbiór potencjalnych klientów, zarejestrowany przez Operatora Serwisu w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.
5. Dane podane w formularzu są przetwarzane w celu opisanym przy formularzu.

3. Informacja o plikach cookies.

1. Serwis korzysta z plików cookies.
2. Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym Użytkownika Serwisu i przeznaczone są do korzystania ze stron internetowych Serwisu. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
3. Podmiotem zamieszczającym na urządzeniu końcowym Użytkownika Serwisu pliki cookies oraz uzyskującym do nich dostęp jest operator Serwisu.
4. Pliki cookies wykorzystywane są w następujących celach:
a. tworzenia statystyk, które pomagają zrozumieć, w jaki sposób Użytkownicy Serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości;
b. utrzymanie sesji Użytkownika Serwisu (po zalogowaniu), dzięki której Użytkownik nie musi na każdej podstronie Serwisu ponownie wpisywać loginu i hasła;
c. określania profilu użytkownika w celu wyświetlania mu dopasowanych materiałów w sieciach reklamowych, w szczególności sieci Google.
5. W ramach Serwisu stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym Użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez Użytkownika.
6. Oprogramowanie do przeglądania stron internetowych (przeglądarka internetowa) zazwyczaj domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym Użytkownika. Użytkownicy Serwisu mogą dokonać zmiany ustawień w tym zakresie. Przeglądarka internetowa umożliwia usunięcie plików cookies. Możliwe jest także automatyczne blokowanie plików cookies Szczegółowe informacje na ten temat zawiera pomoc lub dokumentacja przeglądarki internetowej.
7. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronach internetowych Serwisu.
8. Pliki cookies zamieszczane w urządzeniu końcowym Użytkownika Serwisu i wykorzystywane mogą być również przez współpracujących z operatorem Serwisu reklamodawców oraz partnerów.
9. Zalecamy przeczytanie polityki ochrony prywatności tych firm, aby poznać zasady korzystania z plików cookie wykorzystywane w statystykach: Polityka ochrony prywatności Google Analytics
10. Pliki cookie mogą być wykorzystane przez sieci reklamowe, w szczególności sieć Google, do wyświetlenia reklam dopasowanych do sposobu, w jaki użytkownik korzysta z Serwisu. W tym celu mogą zachować informację o ścieżce nawigacji użytkownika lub czasie pozostawania na danej stronie.
11. W zakresie informacji o preferencjach użytkownika gromadzonych przez sieć reklamową Google użytkownik może przeglądać i edytować informacje wynikające z plików cookies przy pomocy narzędzia: https://www.google.com/ads/preferences/

4. Logi serwera.

1. Informacje o niektórych zachowaniach użytkowników podlegają logowaniu w warstwie serwerowej. Dane te są wykorzystywane wyłącznie w celu administrowania serwisem oraz w celu zapewnienia jak najbardziej sprawnej obsługi świadczonych usług hostingowych.
2. Przeglądane zasoby identyfikowane są poprzez adresy URL. Ponadto zapisowi mogą podlegać:
a. czas nadejścia zapytania,
b. czas wysłania odpowiedzi,
c. nazwę stacji klienta – identyfikacja realizowana przez protokół HTTP,
d. informacje o błędach jakie nastąpiły przy realizacji transakcji HTTP,
e. adres URL strony poprzednio odwiedzanej przez użytkownika (referer link) – w przypadku gdy przejście do Serwisu nastąpiło przez odnośnik,
f. informacje o przeglądarce użytkownika,
g. Informacje o adresie IP.
3. Dane powyższe nie są kojarzone z konkretnymi osobami przeglądającymi strony.
4. Dane powyższe są wykorzystywane jedynie dla celów administrowania serwerem.

5. Udostępnienie danych.

1. Dane podlegają udostępnieniu podmiotom zewnętrznym wyłącznie w granicach prawnie dozwolonych.
2. Dane umożliwiające identyfikację osoby fizycznej są udostępniane wyłączenie za zgodą tej osoby.
3. Operator może mieć obowiązek udzielania informacji zebranych przez Serwis upoważnionym organom na podstawie zgodnych z prawem żądań w zakresie wynikającym z żądania.

6. Zarządzanie plikami cookies – jak w praktyce wyrażać i cofać zgodę?

1. Jeśli użytkownik nie chce otrzymywać plików cookies, może zmienić ustawienia przeglądarki. Zastrzegamy, że wyłączenie obsługi plików cookies niezbędnych dla procesów uwierzytelniania, bezpieczeństwa, utrzymania preferencji użytkownika może utrudnić, a w skrajnych przypadkach może uniemożliwić korzystanie ze stron www

Zamknij