Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Unde gasesc Word Viewer 2003 Serv...

Radiere masina care nu a fost inm...

Poate un motor acționa ca sa...
 La multi ani @Mike1alike!

La multi ani @danghetau!

Golf IV sau Mini Cooper R50

Cum sa trec peste prima mea relat...
 Schema amplificator Awaline - ILX...

This app can not run on pc

Caut apartament cu 3 camere Pta R...

Emisiuni pentru tineri in Romania...
 Reviste pentru tineri in Romania ...

Achizitie televizor Philips 43PUS...

Cum se numesc aceste mici parti d...

Foișor dimensiune stalpi
 

Bunepractici pentru prevenirea/ diminuarea atacurilor ransomware

- - - - -
  • Please log in to reply
17 replies to this topic

#1
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 647
  • Înscris: 16.03.2006
Salut. As vrea sa propun un subiect de actualitate si ma adresez in primul rand celor care administreaza infrastructura IT a diferitor institutii/ societati.
Ce bune practici recomandati\ati implementat\v-ati dori sa implementati in infrastructura pe care o administrati pentru prevenire si diminuarea atacurilor ransomware de amploare care au avut loc in ultima perioada?

#2
Dany_Darke

Dany_Darke

    ✠ Fear of the dark ツ

  • Grup: Super Moderators
  • Posts: 21,354
  • Înscris: 07.06.2014
instruirea oamenilor sa nu mai de-a clickuri pe orice text ii apare pe ecran. primul antivirus si prima bariera nu este cea software sau hardware, ci cea umana.

#3
Hamdoulillah

Hamdoulillah

    Senior Member

  • Grup: Banned
  • Posts: 3,662
  • Înscris: 29.03.2017

View PostDany_Darke, on 28 iunie 2017 - 14:57, said:

instruirea oamenilor sa nu mai de-a clickuri pe orice text ii apare pe ecran. primul antivirus si prima bariera nu este cea software sau hardware, ci cea umana.
Asta e veche, de pe vremea "marelui" hacker Kevin Mitnick (cunoscatorii stiu despre ce vorbesc): ala facea inginerie sociala, suna de ex. si se dadea drept persoana de la IT, cerea parola, o obtinea, si aia era!...

#4
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 647
  • Înscris: 16.03.2006

View PostHamdoulillah, on 28 iunie 2017 - 14:59, said:

Asta e veche, de pe vremea "marelui" hacker Kevin Mitnick (cunoscatorii stiu despre ce vorbesc): ala facea inginerie sociala, suna de ex. si se dadea drept persoana de la IT, cerea parola, o obtinea, si aia era!...
Asta merge in organizatiile foarte mari unde e posibil ca nu toata lumea sa te cunoasca.

#5
tavitu

tavitu

    Fii și tu un super-erou: Vaccinează-te!

  • Grup: Senior Members
  • Posts: 4,808
  • Înscris: 16.02.2009
Backup offline/online cu versionare + soft actualizat cât mai la zi pentru că de eroarea umană ("upps am dat click pe un link dubios dintr-un email") nu o să scapi niciodată.

Attached File  CH4dM2sWwAANxLw.jpg   1.12MB   88 downloads

#6
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 62,952
  • Înscris: 15.06.2004
Cam tot ce se poate face s-a discutat si in topicul asta - https://forum.softpe...re-gen-fhqkham/

Backup-ul e sfant. In rest... doamne ajuta.

Poti face instructaje, restrictii la net cat mai multe, update-uri cat mai dese, dar tot te poti trezi cu un zero day la care nu stii ce sa-i faci.

Destul de util mai poate fi un Firewall third-party, in specia in cazul in care atacul e initiat de un downloader luat prin mail, reclama flash sau scripturi - poate atentiona o tentativa de descarcare si o poti bloca.

Edited by eiffel, 28 June 2017 - 15:17.


#7
Hamdoulillah

Hamdoulillah

    Senior Member

  • Grup: Banned
  • Posts: 3,662
  • Înscris: 29.03.2017
Ar mai fi o problema. Uneori nu stii de cat timp ai fost infectat, infectia poate sa se fi produs cu mai mult timp in urma, deci poate si backupurile facute au fost infectate...

#8
dexterash

dexterash

    --something---

  • Grup: Senior Members
  • Posts: 22,912
  • Înscris: 19.08.2004
Pe langa backup & co, cred ca, in primul rand, s-ar putea face o separare clara: Intranet vs cei cu acces la Internet. Eu nu inteleg de ce au nevoie toti/multi de acces la Internet pe PCurile dintr-o firma [desigur, in afara de cretinatea-trendy-hippie denumita pompos "Cloud"].

Vrei sa asculti un radio? Ai resurse in intranet, servicii locale.
Vrei chat/mail/sharing de fisiere? Intranet, servicii locale.
Vrei informatii online in timp real? Siteuri limitate, proxy(uri), feeduri RSS, firewall, blabla.
Updateuri? Solutii interne / intranet.

Vrei sa comunici cu exteriorul prin e-mail? Pai desemnezi X persoane din toata firma care sa aiba acces si intern si extern, restrictionezi bine "legaturile" dintre ele, instruiesti populatia blabla.

Bine, ar mai trebui si ceva securizare hardware a statiilor de lucru. Dar pana acolo...

Edited by dexterash, 28 June 2017 - 15:33.


#9
Memeito

Memeito

    Active Member

  • Grup: Members
  • Posts: 1,106
  • Înscris: 20.05.2017
1) Antivirus
2) Firewall
3) ᴀᴅʙʟᴏᴄᴋᴇʀ

Edited by Memeito, 28 June 2017 - 15:35.


#10
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008

View Posttavitu, on 28 iunie 2017 - 15:09, said:

Backup offline/online cu versionare

+1

#11
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 647
  • Înscris: 16.03.2006

View PostHamdoulillah, on 28 iunie 2017 - 15:25, said:

Ar mai fi o problema. Uneori nu stii de cat timp ai fost infectat, infectia poate sa se fi produs cu mai mult timp in urma, deci poate si backupurile facute au fost infectate...
Daca vorbim de ransomware-uri nu prea cred ca nu iti poti da seama daca ai fost infectat mai mult de cateva ore.

Solutia backup la tot e ceea mai sigura pentru ca nu pierzi nimic. Dar va dati seama ca inseamna Backup la 200+ statii cu date intre 10-30 GB/statie cand fiecare user isi tine datele pe unde vrea in computer? Ce faci cand ai 10 useri intr-un oras, 5 in altul, 40 in altul? E ok, nu zic ca nu dar mai bine incerc sa previn sa nu ajuga deloc virusul la el.
Ce tine pe partea de Server, nici nu mai incape discutii ca trebui sa ai un backup bun si cat mai des.
Eu vad ca asa lucrurile, in functie de cat de importante mi se par:
- Instruire/ disciplinare utilizatori;
- Update-uri la zi si antivirus pe fiecare statie;
- Politici de retea in Firewall si GPO care sa limiteze drepturile;
- Firewall hardware cu functii de scanare antivirus, email, trafic in retea, scanare porturi, etc;

Edited by catalin22, 28 June 2017 - 16:25.


#12
MarianG

MarianG

    be that as it may

  • Grup: Moderators
  • Posts: 27,729
  • Înscris: 10.08.2005

View PostDany_Darke, on 28 iunie 2017 - 14:57, said:

instruirea oamenilor sa nu mai de-a clickuri pe orice text ii apare pe ecran. primul antivirus si prima bariera nu este cea software sau hardware, ci cea umana.
Aveti idee ce frumos arata un email plain text?
Genul de email care contine fix ce trebuie,

Quote

Greetings,
My name is [...] I have news/this issue  [...] I need you to do [...]


Name - Function - Company
Dar nu nene, ei trebuie sa aiba zeci de imagini cu logo firma si logo social network in semnatura.

Quote

Poti face instructaje, restrictii la net cat mai multe, update-uri cat mai dese, dar tot te poti trezi cu un zero day la care nu stii ce sa-i faci.
Desigur, primesc un email in care se mentioneaza ingrijorarea securitati iar pentru a fi informati corect ... click this link ... that will lead you to company portal
Mesajul era unul legitim trimis de Divizia de IT a companiei mama.

Edited by MarianG, 28 June 2017 - 16:36.


#13
high_energy

high_energy

    Active Member

  • Grup: Members
  • Posts: 1,366
  • Înscris: 18.05.2017
simplu. niciodata nu deschid emailuri din spam decat daca stiu ca eu m-am inscris pe un site sau ceva. in rest....atentie

#14
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 62,952
  • Înscris: 15.06.2004

View PostHamdoulillah, on 28 iunie 2017 - 15:25, said:

Ar mai fi o problema. Uneori nu stii de cat timp ai fost infectat, infectia poate sa se fi produs cu mai mult timp in urma, deci poate si backupurile facute au fost infectate...
Nu e nicio problema de acest gen. Virusii de tip ransom ataca imediat ce s-au instalat pe PC si incerca sa cripteze cat mai multe fisiere pana sa fie descoperit si blocat. In general cam in 10-20minute au terminat cu un PC, dupa care se sterg automat.
Daca ar astepta chiar si cateva ore ar fi sanse mari ca antivirusii sa-i detecteze in noua forma ( doar cei zero-day pot trece nedetectati ), deci nu e risc sa fie backup-ul infectat de asa ceva.
Cu alti virusi da, e posibil dar si atunci cu un antivirus updatat la zi, virusul va fi detectat destul de rapid.

View Postcatalin22, on 28 iunie 2017 - 16:14, said:

Dar va dati seama ca inseamna Backup la 200+ statii cu date intre 10-30 GB/statie cand fiecare user isi tine datele pe unde vrea in computer? Ce faci cand ai 10 useri intr-un oras, 5 in altul, 40 in altul? E ok, nu zic ca nu dar mai bine incerc sa previn sa nu ajuga deloc virusul la el.
Ce tine pe partea de Server, nici nu mai incape discutii ca trebui sa ai un backup bun si cat mai des.

In mod normal tot ce tine de munca ar trebui sa fie pe server, nu pe statiile de lucru.
Ce e pe statii - se poate face backup local - dar asta poate fi atacat de unii virusi de criptare.

#15
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008

View PostMarianG, on 28 iunie 2017 - 16:31, said:

Desigur, primesc un email in care se mentioneaza ingrijorarea securitati iar pentru a fi informati corect ... click this link ... that will lead you to company portal
Mesajul era unul legitim trimis de Divizia de IT a companiei mama.

Da, sint timpiti. Am vazut si la companii mari chestii cu survey-uri la compania cutare externa, tot felul de time trackere, vacation tracker si alte prostii in care trebuie sa-ti bagi parola "principala" (aia cu care iti vezi si webmailul de exemplu) ba chiar si recomandari sa rulezi exe-ul cutare sau cutare pentru cine stie ce problema.

View PostHamdoulillah, on 28 iunie 2017 - 15:25, said:

Ar mai fi o problema. Uneori nu stii de cat timp ai fost infectat, infectia poate sa se fi produs cu mai mult timp in urma, deci poate si backupurile facute au fost infectate...

Incremental backup cu infinite retention. Eu ma gindesc absolut serios la asta si pentru pc-ul non-bizniz, de care nu depinde nimic. De cind am facut un move in loc de copy la un director important pe un stick (ulterior sters ca era doar ca sa arat ceva cuiva) si m-am prins dupa saptamini. Daca se propaga in toate backupurile fara sa ma prind ... adio si un praz verde.

#16
catalin22

catalin22

    Member

  • Grup: Members
  • Posts: 647
  • Înscris: 16.03.2006

View Posteiffel, on 29 iunie 2017 - 09:19, said:

In mod normal tot ce tine de munca ar trebui sa fie pe server, nu pe statiile de lucru.
Ce e pe statii - se poate face backup local - dar asta poate fi atacat de unii virusi de criptare.
Cum ar fi cazul recent cu Petya/ NonPetya sau cum i-o zice care modifica MBR-ul.

#17
AdyMakke

AdyMakke

    Junior Member

  • Grup: Members
  • Posts: 168
  • Înscris: 29.05.2005

View Postcatalin22, on 29 iunie 2017 - 16:28, said:

Cum ar fi cazul recent cu Petya/ NonPetya sau cum i-o zice care modifica MBR-ul.

Astea daca nu ma insel nu rulau direct la infectare, ci creau un scheduled task :)

Acum 2 luni un amic a luat un ransomware ( BlindCock) prin brute force RDP ... pe serverul de contabilitate protejat cu BitDEfender Endpoint .. consola din cloud era mandra ca a sters virusul, insa in 20 min totul a fost criptat.  0.4 BC negociat la 0.2 BC in 2 zile platit si cu noroc a mers decriptarea..

Alte cai de protectie:

Nu da acces la resursele interne decat daca este nevoie, de preferat prin VPN sau restrictionezi IP=urile de la care au acces la servere ./ statii de lucru din LAN.
Update-urile la TOATE aplicatiile de pe PC !!! ( nu doar OS).
FIrewall  cu IPS si blocare inboud/ outbound catre IP-uri cu reputatie proasta ( ex. http://iplists.firehol.org/ )
blocare acces la alt DNS decat cel intern din firewall ..
Blocare porturi de outgoing din FW doar la cele uzuale in functie de aplicatiile folosite , de ex 80,443, 995, 465, 110 , 143  .
alte sfaturi de la Brian Krebs

P.S. Foloseste cineva Pi-Hole?

Adi

#18
ignition2you

ignition2you

    Junior Member

  • Grup: Junior Members
  • Posts: 27
  • Înscris: 27.01.2017
Exista personal specializat pe parte de securitate IT&C care se ocupa cu ce ati descris deja aici, la care se mai adauga o multime de alte lucruri care se impart in mai multe categorii gen prevenire (proceduri, educatia utilizatorilor, IDS, criptare date, criptare comunicatii e.t.c.) raspuns (ex. scripturi automate de blockare pentru anumite situatii) recuperare date (backup incremental, diferential, full, virtual, deduplicare fisiere cu stocare in locatii geografice diferite, e.t.c.).

In cazul in care volumul de munca este prea mic la o companie mica, exista si posibilitatea de part time (ex. 8 ore / luna).

Anunturi

Second Opinion Second Opinion

Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale.

Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate