Хочешь работать — заплати! Или как делать бизнес в мире, где вирусы-шифровальщики — это новый рэкет

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Пятый день не работает СДЭК. По предварительным данным ущерб СДЭКа может составлять от 300 млн. до 1 млрд руб.


Как руководитель бизнеса и системный администратор, я седею от таких историй и бегу проверять, а все ли сделано, чтобы снизить эти риски для нас и наших клиентов и что можно ещё придумать, чтобы их обезопасить, но не разорить на защите?

webp


За последние несколько лет было зашифровано несколько крупных коммерческий компаний: Мираторг, Wildberries, теперь СДЭК, и это просто те компании, которые на слуху. Средний и малый бизнес, не так широко известный публике, страдает тихо. Я сам неоднократно сталкивался с такими ситуациями, и, к счастью, нас пытались взломать не такие ушлые ребята, поэтому удавалось выйти с наименьшими потерями или совсем без потерь.

Почему я говорю про «ушлых ребят», да потому что я твердо уверен, что, если кому-то нужно вас или нас взломать, то взломают. Моя задача как собственника бизнеса и как ИТ-аутсорсинга для своих клиентов – это снижать риски и потери от таких ситуаций настолько, насколько это возможно.

webp


Часть моих клиентов – это те, которые изначально пришли за помощью с уже зашифрованными файлами, и да, волшебной технической пилюли не бывает, не всегда удается восстановить всю информацию, особенно если прошло какое-то время.

Также было два случая, когда текущих клиентов шифровали. Не самые приятные ситуации, но это наш опыт, пусть он и стоил нам потерянных нервных клеток, которые в отличии от бэкапов восстановлению не подлежат.

В обоих случаях мы смогли быстро возобновить работу клиентов, потому что мы делаем резервные копии. В первом случае причиной было открытие письма с вирусом. Во втором случае — выданный доступ для 1С специалиста. Злоумышленники получили доступ к компьютеру, с которого производилось подключение к серверу, а далее с этого компьютера, используя сохраненный VPN, получили доступ к серверу. В этом случае добрались даже до резервных копий на первом и втором носителе, тут нам и пригодился третий носитель, о существовании которого взломщик не знал.

Что происходит во время шифрования и как долго восстанавливать данные после?

Я сталкивался с двумя видами шифровальщиков:
  • Полностью автоматические шифрование: без удаленного доступа к оборудованию, с использованием набора утилит для поиска уязвимостей в ИТ-инфраструктуре и запуска самого шифровальщика;
  • Полуавтоматическое: с помощью различных утилит также ищется уязвимость для получения удаленного доступа и далее уже подключаются люди с определенными навыками, которые уже решают, как максимально зашифровать данные, но при этом сделать это так, чтобы как можно дольше об этом не узнали. Чаще такие работы делаются в ночное время, выходные дни или еще лучше на какие-нибудь продолжительные праздники, чтобы как можно дольше оставаться незамеченными.
После шифрования всех файлов и баз данных, а также обнаружения этого факта необходимо определить, какие данные были затронуты. Затем начинается кропотливая работа по восстановлению. Скачивание большого объема данных с локальных, а тем более с удаленных носителей занимает много времени, поэтому не стоит ожидать, что все заработает через пару часов. Иногда этот процесс восстановления может занимать несколько дней.

Помимо скачивания и развертывания инфраструктуры из резервных копий с нуля, параллельно необходимо найти, как вас взломали, чтобы закрыть эту лазейку. Это удобнее всего делать, если у вас развернуты сервисы для мониторинга и логирования, поскольку зачастую все локальные журналы очищаются.

А для чего тогда антивирусы? Они же должны спасать от всех вирусов?

Антивирусные программы часто не могут защитить от вирусов-шифровальщиков из-за их быстрого развития и обновлений, использования социальных инженерий, техник (полиморфных и метаморфных) , которые меняют код для обхода детектирования, злоупотребления легитимными инструментами, использования уязвимостей нулевого дня, что усложняет распознавание вредоносного ПО.

Как обезопасить себя и свой бизнес от вирусов-шифровальщиков?

На 100% процентов защититься от любых вирусов, в том числе от шифровальщиков, невозможно. На любую защиту и специалиста по безопасности найдется более опытный специалист, способный эту защиту обойти.

Но точно можно и нужно максимально усложнить ему задачу, а также снизить риски для самого бизнеса, поэтому вот, что нужно проверить или сделать в первую очередь:
  • Никакого прямого доступа к внутренним сервисам компании извне без использования VPN с шифрованием. Если используются, например, синхронизация данных с сайтом, то как минимум нужен белый список IP адресов;
  • Использование лицензионного программного обеспечения. Взломанное ПО часто не обновляется, да и сам взлом может оставлять дыры, которыми могут воспользоваться неприятели. Бесплатный сыр бывает только в мышеловке;
  • Регулярное обновление. В любом самом надежном программном обеспечение могут быть обнаружены уязвимости;
  • Использование сложных паролей, контроль за компрометирующими паролями, например при увольнении сотрудников, в том числе из ИТ-отделов;
  • Бэкапы, бэкапы и еще раз бэкапы! Как я писал выше, невозможно защититься на 100%, поэтому у вас должны быть бэкапы. Одного бэкапа недостаточно, мы рекомендуем использовать правило «3-2-1»;
  • Использование мониторингов. Бэкапы — это, конечно, хорошо, но вы должны быть уверены, что они сделаны и что из этих бэкапов можно восстановить данные в полном объеме. И в целом нужно следить за обновлениями систем, чтобы уменьшить вероятность взлома уже по известным уязвимостям;
  • Логирование. Мониторинг и логирование помогут разобраться, что и когда произошло, кто был виноват и что нужно исправить, чтобы такого больше не повторилось. В некоторых случаях при правильной настройке алертов можно обнаружить, что что-то пошло не так, уже на ранних этапах взлома;
  • Проверка и обучение сотрудников элементарным знаниям фишинговой безопасности.

Сколько стоит обезопасить себя?

Чаще всего, если к нам обращается компания, которую уже зашифровали, то причиной шифрования является абсолютное пренебрежение элементарными правилами безопасности: в 90% случаях это отсутствие VPN, легкие или скомпрометированные пароли. При этом как системные администраторы мы сталкиваемся с непониманием клиентов, зачем нужны тяжелые пароли.

Или, например, когда мы берем новую компанию и внедряем VPN, то можем услышать: «как это не удобно, раньше ты просто брал и подключался к серверу, а теперь нужно еще какой-то VPN запускать». Подчеркну, что пароли и VPN не требуют каких-то дополнительных затрат, но очень сильно повышают уровень защиты.

Используйте лицензионное программное обеспечение. Стоимость этого пункта необходимо оценивать каждой компании отдельно, исходя из ее нужд. Да, лицензионное ПО звучит просто, и мы его очень любим, так как это снижает количество постоянно возникающих проблем и рисков. Но при этом это не только один из самых дорогостоящих пунктов, но в текущей обстановке еще и острая проблема, так как многие компании ушли с российского рынка. Понятное дело, есть обходные пути закупки ПО, но не каждая компания может себе это позволить. Особенно это касается малого и среднего бизнеса.

Локальные бэкапы. Вторые копии старайтесь делать на сетевые хранилища или дисковые полки. 10Тб хранилище обойдется в районе 100 тыс. рублей. 100Тб в районе 500 тыс. рублей. Дисковые полки с большими объемами от 500 тыс. рублей и выше.

По стоимости бэкапов в облаке. Мы чаще всего в России пользуемся FirstVDS или Cloud4box. За 5Тб в районе 3 500 рублей в месяц.

Работайте с паролями, организуйте мониторинг и логирование, это, конечно, требует определенного уровня компетенций и опыта, поэтому тут стоимость зависит от профессионального уровня вашего системного администратора, ИТ-отдела или компании, которая предоставляет вам эти услуги.

В любом случае стоимость утраченных данных или простоя вашего бизнеса может быть сильно больше всех затрат выше. Как мы все время стараемся найти оптимальный баланс между затратами клиента и безопасностью.

Сделайте чекап прямо сейчас!

Сделайте аудит на поиск уязвимостей, разберитесь, делается ли у вас – это то, что вам нужно было сделать ещё вчера.


 
  • Теги
    вирус-шифровальщик
  • Сверху Снизу