Bunepractici pentru prevenirea/ diminuarea atacurilor ransomware

Salut. As vrea sa propun un subiect de actualitate si ma adresez in primul rand celor care administreaza infrastructura IT a diferitor institutii/ societati.
Ce bune practici recomandati\ati implementat\v-ati dori sa implementati in infrastructura pe care o administrati pentru prevenire si diminuarea atacurilor ransomware de amploare care au avut loc in ultima perioada?

instruirea oamenilor sa nu mai de-a clickuri pe orice text ii apare pe ecran. primul antivirus si prima bariera nu este cea software sau hardware, ci cea umana.

Dany_Darke, on 28 iunie 2017 - 14:57, said:

Asta e veche, de pe vremea "marelui" hacker Kevin Mitnick (cunoscatorii stiu despre ce vorbesc): ala facea inginerie sociala, suna de ex. si se dadea drept persoana de la IT, cerea parola, o obtinea, si aia era!...

Hamdoulillah, on 28 iunie 2017 - 14:59, said:

Asta merge in organizatiile foarte mari unde e posibil ca nu toata lumea sa te cunoasca.

Backup offline/online cu versionare + soft actualizat cât mai la zi pentru că de eroarea umană ("upps am dat click pe un link dubios dintr-un email") nu o să scapi niciodată.

 CH4dM2sWwAANxLw.jpg   1.12MB   88 downloads

Cam tot ce se poate face s-a discutat si in topicul asta - https://forum.softpe...re-gen-fhqkham/

Backup-ul e sfant. In rest... doamne ajuta.

Poti face instructaje, restrictii la net cat mai multe, update-uri cat mai dese, dar tot te poti trezi cu un zero day la care nu stii ce sa-i faci.

Destul de util mai poate fi un Firewall third-party, in specia in cazul in care atacul e initiat de un downloader luat prin mail, reclama flash sau scripturi - poate atentiona o tentativa de descarcare si o poti bloca.

Edited by eiffel, 28 June 2017 - 15:17.

Ar mai fi o problema. Uneori nu stii de cat timp ai fost infectat, infectia poate sa se fi produs cu mai mult timp in urma, deci poate si backupurile facute au fost infectate...

Pe langa backup & co, cred ca, in primul rand, s-ar putea face o separare clara: Intranet vs cei cu acces la Internet. Eu nu inteleg de ce au nevoie toti/multi de acces la Internet pe PCurile dintr-o firma [desigur, in afara de cretinatea-trendy-hippie denumita pompos "Cloud"].

Vrei sa asculti un radio? Ai resurse in intranet, servicii locale.
Vrei chat/mail/sharing de fisiere? Intranet, servicii locale.
Vrei informatii online in timp real? Siteuri limitate, proxy(uri), feeduri RSS, firewall, blabla.
Updateuri? Solutii interne / intranet.

Vrei sa comunici cu exteriorul prin e-mail? Pai desemnezi X persoane din toata firma care sa aiba acces si intern si extern, restrictionezi bine "legaturile" dintre ele, instruiesti populatia blabla.

Bine, ar mai trebui si ceva securizare hardware a statiilor de lucru. Dar pana acolo...

Edited by dexterash, 28 June 2017 - 15:33.

1) Antivirus
2) Firewall
3) ᴀᴅʙʟᴏᴄᴋᴇʀ

Edited by Memeito, 28 June 2017 - 15:35.

tavitu, on 28 iunie 2017 - 15:09, said:

+1

Hamdoulillah, on 28 iunie 2017 - 15:25, said:

Daca vorbim de ransomware-uri nu prea cred ca nu iti poti da seama daca ai fost infectat mai mult de cateva ore.

Solutia backup la tot e ceea mai sigura pentru ca nu pierzi nimic. Dar va dati seama ca inseamna Backup la 200+ statii cu date intre 10-30 GB/statie cand fiecare user isi tine datele pe unde vrea in computer? Ce faci cand ai 10 useri intr-un oras, 5 in altul, 40 in altul? E ok, nu zic ca nu dar mai bine incerc sa previn sa nu ajuga deloc virusul la el.
Ce tine pe partea de Server, nici nu mai incape discutii ca trebui sa ai un backup bun si cat mai des.
Eu vad ca asa lucrurile, in functie de cat de importante mi se par:
- Instruire/ disciplinare utilizatori;
- Update-uri la zi si antivirus pe fiecare statie;
- Politici de retea in Firewall si GPO care sa limiteze drepturile;
- Firewall hardware cu functii de scanare antivirus, email, trafic in retea, scanare porturi, etc;

Edited by catalin22, 28 June 2017 - 16:25.

Dany_Darke, on 28 iunie 2017 - 14:57, said:

Aveti idee ce frumos arata un email plain text?
Genul de email care contine fix ce trebuie,

Quote

Dar nu nene, ei trebuie sa aiba zeci de imagini cu logo firma si logo social network in semnatura.

Quote

Desigur, primesc un email in care se mentioneaza ingrijorarea securitati iar pentru a fi informati corect ... click this link ... that will lead you to company portal
Mesajul era unul legitim trimis de Divizia de IT a companiei mama.

Edited by MarianG, 28 June 2017 - 16:36.

simplu. niciodata nu deschid emailuri din spam decat daca stiu ca eu m-am inscris pe un site sau ceva. in rest....atentie

Hamdoulillah, on 28 iunie 2017 - 15:25, said:

Nu e nicio problema de acest gen. Virusii de tip ransom ataca imediat ce s-au instalat pe PC si incerca sa cripteze cat mai multe fisiere pana sa fie descoperit si blocat. In general cam in 10-20minute au terminat cu un PC, dupa care se sterg automat.
Daca ar astepta chiar si cateva ore ar fi sanse mari ca antivirusii sa-i detecteze in noua forma ( doar cei zero-day pot trece nedetectati ), deci nu e risc sa fie backup-ul infectat de asa ceva.
Cu alti virusi da, e posibil dar si atunci cu un antivirus updatat la zi, virusul va fi detectat destul de rapid.

catalin22, on 28 iunie 2017 - 16:14, said:

In mod normal tot ce tine de munca ar trebui sa fie pe server, nu pe statiile de lucru.
Ce e pe statii - se poate face backup local - dar asta poate fi atacat de unii virusi de criptare.

MarianG, on 28 iunie 2017 - 16:31, said:

Da, sint timpiti. Am vazut si la companii mari chestii cu survey-uri la compania cutare externa, tot felul de time trackere, vacation tracker si alte prostii in care trebuie sa-ti bagi parola "principala" (aia cu care iti vezi si webmailul de exemplu) ba chiar si recomandari sa rulezi exe-ul cutare sau cutare pentru cine stie ce problema.

Hamdoulillah, on 28 iunie 2017 - 15:25, said:

Incremental backup cu infinite retention. Eu ma gindesc absolut serios la asta si pentru pc-ul non-bizniz, de care nu depinde nimic. De cind am facut un move in loc de copy la un director important pe un stick (ulterior sters ca era doar ca sa arat ceva cuiva) si m-am prins dupa saptamini. Daca se propaga in toate backupurile fara sa ma prind ... adio si un praz verde.

eiffel, on 29 iunie 2017 - 09:19, said:

Cum ar fi cazul recent cu Petya/ NonPetya sau cum i-o zice care modifica MBR-ul.

catalin22, on 29 iunie 2017 - 16:28, said:

Astea daca nu ma insel nu rulau direct la infectare, ci creau un scheduled task

Acum 2 luni un amic a luat un ransomware ( BlindCock) prin brute force RDP ... pe serverul de contabilitate protejat cu BitDEfender Endpoint .. consola din cloud era mandra ca a sters virusul, insa in 20 min totul a fost criptat.  0.4 BC negociat la 0.2 BC in 2 zile platit si cu noroc a mers decriptarea..

Alte cai de protectie:

Nu da acces la resursele interne decat daca este nevoie, de preferat prin VPN sau restrictionezi IP=urile de la care au acces la servere ./ statii de lucru din LAN.
Update-urile la TOATE aplicatiile de pe PC !!! ( nu doar OS).
FIrewall  cu IPS si blocare inboud/ outbound catre IP-uri cu reputatie proasta ( ex. http://iplists.firehol.org/ )
blocare acces la alt DNS decat cel intern din firewall ..
Blocare porturi de outgoing din FW doar la cele uzuale in functie de aplicatiile folosite , de ex 80,443, 995, 465, 110 , 143  .
alte sfaturi de la Brian Krebs

P.S. Foloseste cineva Pi-Hole?

Adi

Exista personal specializat pe parte de securitate IT&C care se ocupa cu ce ati descris deja aici, la care se mai adauga o multime de alte lucruri care se impart in mai multe categorii gen prevenire (proceduri, educatia utilizatorilor, IDS, criptare date, criptare comunicatii e.t.c.) raspuns (ex. scripturi automate de blockare pentru anumite situatii) recuperare date (backup incremental, diferential, full, virtual, deduplicare fisiere cu stocare in locatii geografice diferite, e.t.c.).

In cazul in care volumul de munca este prea mic la o companie mica, exista si posibilitatea de part time (ex. 8 ore / luna).