Poradnik: Jak zabezpieczyć firmę przed ransomware?
Parę dni po głośnym ataku Ransomware Petya publikujemy poradnik, co możemy zrobić dla bezpieczeństwa swoich danych.
W poprzednim artykule pisaliśmy o ogromnym wzroście ataków Ransomware w 2016 roku i kilku podstawach w kwestii zabezpieczeń. Byliśmy świadkami kolejnego zaawansowanego ataku Ransomware. Postanowiliśmy zatem powiedzieć trochę więcej o zabezpieczeniach sieci firmowej opartej na Microsoft Windows.
Microsoft opublikował raport opisujący atak Petya. Z informacji Windows Security wynika, iż rozprzestrzenianie rozpoczęło się na Ukrainie. Znajduje się tam 70% komputerów zainfekowanych. Łączną liczbę infekcji ocenia się na 20 tysięcy. Głównie jest to sprzęt pracujący pod kontrolą Windows 7.
Oznacza to, że skala ataku była dużo mniejsza niż w przypadku chociażby ransomware WannaCry, który znalazł się na setkach tysięcy komputerów na całym świecie.
Microsoft twierdzi, iż w marcu bieżącego roku załatał lukę, którą wykorzystali twórcy wirusów Petya i WannaCry. Rozwiązanie Petya było natomiast znacznie bardziej rozbudowane i będzie poddawane dalszym analizom. Oznacza to, że przejęte zostały te urządzenia, które nie były regularnie aktualizowane.
Jak zatem obniżyć ryzyko infekcji ?
Zacznijmy od podstaw:
- Szyfrowane Kopie zapasowe: Nie łatwo zadbać o bezpieczeństwo, kiedy twórcy szkodliwego oprogramowania ciągle je przebudowują. Najważniejszym elementem jest zatem zniwelowanie możliwych skutków ataku. Każdy użytkownik w sieci oraz serwer powinien być zabezpieczony szeregiem Kopii bezpieczeństwa, które można w łatwy sposób przywrócić. Należy wdrożyć serwery plików lub nowoczesne rozwiązania chmurowe.
- Regularne aktualizacje Windows
- Kontrola bezpieczeństwa serwerów: Aktualizacje zabezpieczeń, Konfiguracja Firewalla, Testowanie podatności na ataki poprzez Microsoft Baseline Security Analyzer (MBSA).
- Szczególna ostrożność przy otwieraniu poczty e-mail: Nigdy nie należy otwierać załącznika ani klikać w linki, co do których nie mamy zaufania. Pojawiły się zagrożenia w formie pustych plików .pdf, posiadających ukryty link sieciowy do pliku w formacie .js . Proszę zwracać dokładną uwagę na nadawcę maila, a także na pole odbiorcy.
- Regularne aktualizacje programów i wtyczek: Internet Explorer, Adobe Flash, Adobe Acrobat Reader, Java, Oprogramowanie Antywirusowe, Microsoft Outlook, Windows Live Mail, Outlook Express.
- Konta pracowników firmy nie mogą być kontami administracyjnymi.
Zaawansowane propozycje:
- Blokada wywoływań zdalnych poprzez PSEXEC – Zaawansowana warstwa ochronna wdrożona w systemach na Windows 7 (Ultimate, Enterprise, Proffesional), Windows 8.1 (oprócz RT i 8.0), Windows 10 (Wszystkie wersje), Windows Server 2008 R2, 2012, 2012 R2, 2016.
- Wykorzystanie UEFI Secure Boot – chroni przed uruchomieniem komputera po wykryciu anomalii podczas bootowania. Nie ochroni natomiast przed już zaszyfrowanymi danymi – należy natychmiast wyłączyć komputer jeśli widzimy, iż trwa proces szyfrowania!
- Blokada bądź restrykcje w protokole SMB – szczególnie w kwestii zdalnej administracji. Zalecane jest zablokowanie w sieci portu SMB 445. Ransomware Petya wykorzystywał program Samba – serwer plików wykorzystujących protokół SMB.
- W Windows 10 Creators Update (Marzec 2017) wdrożono nowe systemy bezpieczeństwa takie jak KASLR, NX HAL, PAGE POOL, KCFG, HVCI. Zachęcamy do aktualizacji do najnowszego oprogramowania.
- Device Guard – system zabezpieczeń blokujący urządzenia tak, aby mogło uruchamiać tylko aplikacje oparte na ustawieniach integralności. Oparty na certyfikatach i regułach dostępu do plików. Może działać również w trybie wirtualizacji na poziomie kernela Windows.
- Zaprezentowane w Windows 10 Enterprise oraz Windows Server 2016 rozwiązanie Credential Guard używa systemu zabezpieczeń opartego na technikach wirtualizacji. Całkowicie chroni poświadczenia domen, utrudnia dalsze rozprzestrzenianie się Ransomware.
- Wdrożenie Windows Defender Advanced Thread Protection
- Active Directory Certificate Services – technologia bezpiecznego zarządzania certyfikatami kluczy publicznych
- Firewall – połączenia wychodzące do Ukrainy / Rosji
- Systemy w sieci VPN oraz SSL VPN
Sprawy organizacyjne:
- Szkolenia pracowników
- Regularne Audyty bezpieczeństwa
- Dokonanie analizy ryzyka i obniżenia ryzyk
- Polityka bezpieczeństwa
Dla odważnych:
- Czy ktoś myślał o przeniesieniu firmy na Linux / MacOS? 🙂
Jeśli chcą Państwo zastosować tego typu zabezpieczenia zapraszamy do kontaktu z naszą firmą: Kontakt
Źrodło: Microsoft Windows Security Blog
Data: 2017-07-03 Autor: Tomasz Małecki< Raport TrendMicro: Wzrost ataków Ransomware o 752% w 2016