Ransomware? 13+1 zásada, jak minimalizovat riziko napadení

Ransomware. Před pár lety ještě slovo, které jsme sice znali, ale patřilo spíše do kategorie „to se nás netýká”. Ovšem kyberkriminálníci to viděli jinak a tak bylo jen otázkou času, kdy se tento druh vyděračské havěti objeví i v našich luzích a hájích. A i když napadení benešovské nemocnice a OKD nebyly zdaleka první případy, tak díky jejich medializaci se o tomto tématu začalo více mluvit. A když už se o tématu více mluví, určitě nezaškodí připomenout si pár zásad, při jejichž dodržování lze riziko napadení vlastní infrastruktury dosti významně minimalizovat.

V tomto článku se je pokusím shrnout beze snahy o příliš technická vyjádření a zabíhání do složitostí tak, aby byl pochopitelný všem. Tak snad se mi to podaří.

Zásada první

Nesnažte se najít jedno řešení na celou problematiku kybernetické bezpečnosti – žádná „silver bullet“ (jedno „všezahrnující“ či „všespásné“) řešení totiž neexistuje. Opravdu neexistuje! Tak jako máme dnes v autech mnoho různorodých řešení, která navyšují bezpečnost (samotná konstrukce auta zajišťuje pasivní bezpečnost, k tomu se přidávají bezpečnostní pásy a airbagy, dále ABS a další různé elektronické systémy apod.), tak teprve jejich kombinace v případě nehody nám velice zvyšuje pravděpodobnost toho, že nehodu přežijeme a vyvázneme pokud možno bez zranění. A stejně to je s kybernetickou bezpečností – teprve různé „vrstvy“ zabezpečení a jejich správná kombinace nám poskytnou maximální možnou míru ochrany.

Zásada druhá

Používejte aktualizované verze operačních systémů. A aktualizujte pravidelně, aktualizace „jednou za uherský rok” nechává útočníkům dost prostoru na to, aby využili nezáplatovaných chyb k průniku do vaší infrastruktury. Pokud z nějakého vážného důvodu opravdu musíte používat operační systémy po konci jejich životnosti (tedy takové, na které již výrobce neposkytuje aktualizace), tak alespoň tyto stroje vyčleňte do separátního segmentu sítě a věnujte jim zvláštní pozornost; ale lépe je samozřejmě takové stroje v infrastruktuře vůbec nemít. A nezapomeňte také na pravidelné aktualizace veškerého dalšího software, který používáte – stejně jako neaktualizovaný operační systém i on může být cestou k nákaze vaší infrastruktury.

Zásada třetí

Používejte kvalitní antivirové řešení. Dnešní antiviry v sobě integrují spoustu bezpečnostních mechanismů a jejich záběr je poměrně široký, takže vám pomůžou mnoha problémům předejít. A stejně jako v případě operačních systémů platí – aktualizovat, aktualizovat, aktualizovat!

Zásada čtvrtá

Nevěřte „odborníkům“, kteří tvrdí, že k zabránění nákazy stačí pouhý selský rozum, neotevírání podezřelých příloh a vůbec obezřetné chování „na síti“ – není to už dávno pravda. Moderní malware dokáže využít nezáplatovaných chyb nejen v operačním systému, ale i v aplikacích atd. a dokáže se s jejich pomocí dostat do vaší infrastruktury bez toho, že byste museli vědomě provést nějakou akci (jako například spuštění přílohy z emailu).

Zásada pátá

I vaše firewally a síťové prvky si zaslouží vaši pozornost a aktualizace. Vždyť firewall či třeba router je v podstatě také počítač, tedy hardware, na kterém běží nějaký specializovaný software. A protože je známo a praxí potvrzeno, že každý software obsahuje chyby, tak je dobré pravidelně aktualizovat i tato zařízení. Pokud to dělat nebudete, otevíráte útočníkům další cestu do vaší infrastruktury, jak jsme nedávno v praxi ukázali na naší konferenci GREYCORTEX DAY, kde jsme předvedli naživo útok na typickou síťovou infrastrukturu.

Zásada šestá

Když to není nezbytně nutné, nepracujte pod administrátorským účtem. K běžné práci opravdu není potřeba a prolomí-li útočník zabezpečení na zařízení, kde jste (možná zbytečně) přihlášeni jako správce, tak mu jeho úsilí značně zjednodušíte a cestu k vašim datům (a potažmo penězům) mu značně usnadníte.

Zásada sedmá

Pokud používáte pro práci jakoukoli formu vzdálené plochy, tak ji nemějte trvale zapnutou a už vůbec ne trvale otevřenou ven do internetu, bývá totiž častým cílem prvotní fáze útoku a necháváte tím (po)otevřená vrátka do vaší infrastruktury. Dávejte si vůbec pozor na to, jakým způsobem se připojují vaši vzdáleně pracující kolegové či dodavatelé a co vše mají povoleno, do jakých částí infrastruktury se mohou dostat a jak je jejich připojení k interním prostředkům zabezpečeno. A s tím souvisí i zásada příští:

Zásada osmá

Pro připojení zvenčí k interní síti používejte zásadně VPN (Virtual Private Network, česky virtuální privátní síť). Pokud umožníte připojení zvenku „napřímo“ bez použití VPN, tak ho nějaký útočník dříve či později zneužije. A nepoužívané VPN účty zrušte, neboť vždy hrozí riziko zneužití nějakého dávno zapomenutého přístupu. Toto platí obecně – pokud komukoli přístup kamkoli povolíte a on to již k další práci nepotřebuje, tak přístup zrušte.

Zásada devátá

Důsledně oddělujte návštěvnické (tedy veřejně přístupné) a interní/produkční části infrastruktury. Toto se netýká jen návštěvnické WiFi, ale jakékoli části infrastruktury, kam mohou volně přistupovat neznámé osoby. Hodně útoků na vnitřní infrastrukturu začíná „návštěvou“ nezvaného hosta z veřejně přístupné části sítě.

Zásada desátá

Kyberzločinci se neustále zdokonalují a vymýšlejí nové způsoby, jak k vám a vašim kolegům a kolegyním dopravit škodlivý kód, proto nezaškodí je pravidelně o nových způsobech, jak se je někdo může snažit „oblbnout“ (tedy přimět udělat něco, co k vám nákazu zavleče) informovat a na nová nebezpečí je upozorňovat. Určitě není od věci se jednou za čas zúčastnit nějaké zajímavé konference, která o těchto tématech hovoří, nebo se nechat vyškolit (opakovaně) od firem, které se na prevenci zaměřují. Určitě to nebude ztráta času ani peněz – mnohem více času a peněz byste museli vynaložit na odstraňování následků neuvážených činů neznalých zaměstnanců. Bohužel lidský prvek bude vždy tím nejslabším článkem řetězu kybernetické bezpečnosti, proto se vyplatí zvyšovat povědomí o tom, co vše se může stát, pravidelně zvyšovat.

Zásada jedenáctá

Pokud vaši kolegové a kolegyně pracují ve vaši infrastruktuře na vlastních zařízeních (tzv. BYOD, Bring Your Own Device, česky přines si své zařízení), tak je nutné počítat s tím, že budete muset všechny zde uvedené zásady aplikovat i na tato vlastní zařízení a to bývá dost velký problém. Jedním z možných řešení je umožnit těmto zařízením opět přístup jen do určeného segmentu infrastruktury a ten velice dobře zabezpečit a sledovat, což může být samozřejmě dost pracné.

Zásada dvanáctá

Když o něčem nevím, tak to nemohu řešit. Pokud tedy nemáte dostatečnou viditelnost do celé infrastruktury a nemáte možnost sledovat, co se v ní odehrává, je pro vás útočník neviditelný a vy jste (až do okamžiku, kdy se útok projeví plnou silou, tedy v případě ransomware zašifrováním dat) prakticky slepí. Proto je vhodné používat řešení NTA (Network Traffic Analysis, česky Analýza síťového provozu) jako je například naše řešení GREYCORTEX MENDEL. Tyto nástroje vám nejen umožní (až do nejmenších detailů) vidět, co se ve vaší infrastruktuře objevuje za zařízení a co se na nich odehrává, ale zároveň vám automatickou analýzou veškerého síťového provozu a korelací probíhajících událostí dá možnost být včas upozorněni na to, že se v infrastruktuře děje něco podivného a nekalého (pokud vás zajímá více podrobností, najdete je tady). A samozřejmě je důležité s těmito upozorněními potom dále pracovat a zajistit nápravu nalezených nedostatků, ale to už je nad rámec tohoto článku. Pokud sami nemáte interní oddělení, zabývající se kybernetickou bezpečností, můžete si dnes služby SOC (Security Operations Center, česky by se to dalo přeložit jako bezpečnostní operační středisko) objednat třeba u některého z našich partnerů a nechat starosti na jejich bedrech. Řešení NTA oceníte zvláště v případech, kdy se útočníkovi podaří vyřadit z činnosti vaše antivirové řešení či projít přes váš firewall (například tím, že skryje nelegitimní (škodlivý) provoz do provozu legitimního a tím firewall oklame), protože projevy svého škodlivého chování před permanentní analýzou síťového provozu prostě neschová. A co víc – NTA řešení vám pomůže i s forenzní anlaýzou, tedy s následným vyšetřováním, odkud útok přišel či jak se nákaza do vaší infrastruktury dostala, čímž vám umožní odhalit a odstranit slabá místa v zabezpečení.

Zásada třináctá

Zálohujte, zálohujte a zase zálohujte! Ideálně zálohujte na výměnná média a odnášejte zálohy fyzicky mimo prostory vaší organizace (zajistíte tím kontinuitu i v případě požáru, potopy či mobilizace :-), ale hlavně tím zajistíte to, že v případě napadení ransomwarem nebudou zašifrovány i zálohy, které se nacházejí ve stejné infrastruktuře. Není-li z nějakého důvodu fyzické odnášení záloh možné či vhodné, zajistěte alespoň, aby servery se zálohami nebyly trvale připojeny k vaší infrastruktuře a nebyly tedy útočníkům přístupné v případě probíhajícího útoku – v opačném případě vám zašifrují i tyto zálohy a vy nebudete mít data odkud obnovovat.

A nakonec zásada poslední: Ani dodržování všech výše uvedených zásad vás nemusí stoprocentně ochránit před napadením vaší infrastruktury, protože dnešní kyberkriminálníci už nejsou žádní „umaštění teenageři“, kteří si chtějí něco dokázat, ale profesionální skupiny s obrovskými rozpočty a možnostmi.

Ale pokud se budete všech výše uvedených zásad držet, tak jim jejich snahu o útok maximálně ztížíte, a protože i oni vědí, že vynaložené úsilí musí být menší než možný dosažený zisk (aby i jim jejich „podnikání“ dávalo smysl), tak je vysoce pravděpodobné, že zaútočí spíše na někoho jiného, kdo jim díky nedodržování těchto zásad poskytne snadnější cíl.

Přeji vám úspěšný a bezpečný rok 2020 a už se těším na diskuzi o vašich vlastních zkušenostech či zásadách bezpečného chování, neváhejte se proto podělit dole v komentářích.

Newsletter