Poradnik: Jak zabezpieczyć firmę przed ransomware?

Parę dni po głośnym ataku Ransomware Petya publikujemy poradnik, co możemy zrobić dla bezpieczeństwa swoich danych. 

W poprzednim artykule pisaliśmy o ogromnym wzroście ataków Ransomware w 2016 roku i kilku podstawach w kwestii zabezpieczeń. Byliśmy świadkami kolejnego zaawansowanego ataku Ransomware. Postanowiliśmy zatem powiedzieć trochę więcej o zabezpieczeniach sieci firmowej opartej na Microsoft Windows.

Microsoft opublikował raport opisujący atak Petya. Z informacji Windows Security wynika, iż rozprzestrzenianie rozpoczęło się na Ukrainie. Znajduje się tam 70% komputerów zainfekowanych. Łączną liczbę infekcji ocenia się na 20 tysięcy. Głównie jest to sprzęt pracujący pod kontrolą Windows 7.

Oznacza to, że skala ataku była dużo mniejsza niż w przypadku chociażby ransomware WannaCry, który znalazł się na setkach tysięcy komputerów na całym świecie.

Microsoft twierdzi, iż w marcu bieżącego roku załatał lukę, którą wykorzystali twórcy wirusów Petya i WannaCry. Rozwiązanie Petya było natomiast znacznie bardziej rozbudowane i będzie poddawane dalszym analizom. Oznacza to, że przejęte zostały te urządzenia, które nie były regularnie aktualizowane.

 

Jak zatem obniżyć ryzyko infekcji ?

Zacznijmy od podstaw:

  • Szyfrowane Kopie zapasowe: Nie łatwo zadbać o bezpieczeństwo, kiedy twórcy szkodliwego oprogramowania ciągle je przebudowują. Najważniejszym elementem jest zatem zniwelowanie możliwych skutków ataku. Każdy użytkownik w sieci oraz serwer powinien być zabezpieczony szeregiem Kopii bezpieczeństwa, które można w łatwy sposób przywrócić. Należy wdrożyć serwery plików lub nowoczesne rozwiązania chmurowe.
  • Regularne aktualizacje Windows 
  • Kontrola bezpieczeństwa serwerów: Aktualizacje zabezpieczeń, Konfiguracja Firewalla, Testowanie podatności na ataki poprzez Microsoft Baseline Security Analyzer (MBSA).
  • Szczególna ostrożność przy otwieraniu poczty e-mail: Nigdy nie należy otwierać załącznika ani klikać w linki, co do których nie mamy zaufania. Pojawiły się zagrożenia w formie pustych plików .pdf, posiadających ukryty link sieciowy do pliku w formacie .js . Proszę zwracać dokładną uwagę na nadawcę maila, a także na pole odbiorcy.
  • Regularne aktualizacje programów i wtyczek: Internet Explorer, Adobe Flash, Adobe Acrobat Reader, Java, Oprogramowanie Antywirusowe, Microsoft Outlook, Windows Live Mail, Outlook Express.
  • Konta pracowników firmy nie mogą być kontami administracyjnymi.

Zaawansowane propozycje:

  • Blokada wywoływań zdalnych poprzez PSEXEC – Zaawansowana warstwa ochronna wdrożona w systemach na Windows 7 (Ultimate, Enterprise, Proffesional), Windows 8.1 (oprócz RT i 8.0), Windows 10 (Wszystkie wersje), Windows Server 2008 R2, 2012, 2012 R2, 2016.
  • Wykorzystanie UEFI Secure Boot – chroni przed uruchomieniem komputera po wykryciu anomalii podczas bootowania. Nie ochroni natomiast przed już zaszyfrowanymi danymi – należy natychmiast wyłączyć komputer jeśli widzimy, iż trwa proces szyfrowania!
  • Blokada bądź restrykcje w protokole SMB – szczególnie w kwestii zdalnej administracji. Zalecane jest zablokowanie w sieci portu SMB 445. Ransomware Petya wykorzystywał program Samba – serwer plików wykorzystujących protokół SMB.
  • W Windows 10 Creators Update (Marzec 2017) wdrożono nowe systemy bezpieczeństwa takie jak KASLR, NX HAL, PAGE POOL, KCFG, HVCI. Zachęcamy do aktualizacji do najnowszego oprogramowania.
  • Device Guard – system zabezpieczeń blokujący urządzenia tak, aby mogło uruchamiać tylko aplikacje oparte na ustawieniach integralności. Oparty na certyfikatach i regułach dostępu do plików. Może działać również w trybie wirtualizacji na poziomie kernela Windows.
  • Zaprezentowane w Windows 10 Enterprise oraz Windows Server 2016 rozwiązanie Credential Guard używa systemu zabezpieczeń opartego na technikach wirtualizacji. Całkowicie chroni poświadczenia domen, utrudnia dalsze rozprzestrzenianie się Ransomware.
  • Wdrożenie Windows Defender Advanced Thread Protection
  • Active Directory Certificate Services – technologia bezpiecznego zarządzania certyfikatami kluczy publicznych
  • Firewall – połączenia wychodzące do Ukrainy / Rosji
  • Systemy w sieci VPN oraz SSL VPN

Sprawy organizacyjne:

  • Szkolenia pracowników
  • Regularne Audyty bezpieczeństwa
  • Dokonanie analizy ryzyka i obniżenia ryzyk
  • Polityka bezpieczeństwa

Dla odważnych:

  • Czy ktoś myślał o przeniesieniu firmy na Linux / MacOS? 🙂

Jeśli chcą Państwo zastosować tego typu zabezpieczenia zapraszamy do kontaktu z naszą firmą: Kontakt

Źrodło: Microsoft Windows Security Blog


<