WannaCry: как защититься от вымогателей?
На прошлой неделе по миру прокатилась эпидемия программы-вымогателя семейства WannaCry. Используя известную еще с 14 апреля уязвимость Microsoft Windows SMB Remote Code Execution (MS17-010), червь удаленно выполнял на атакуемых системах вредоносный код и запускал программу шифрования пользовательских файлов, требуя за расшифровку оплату в биткоинах. В небольшой инструкции мы расскажем об основных мерах предосторожности, которые позволят избежать подобных заражений или свести к минимуму их последствия.
Очень полезная и своевременная инструкция (правда не для всех, для кого-то уже поздно). Но, как говорится, лучше поздно, чем ни когда.
Обновляйте Windows своевременно
Некоторые системные администраторы предпочитают только проверенные временем обновления Windows, но эту ошибочную практику стоит немедленно прекратить. На примере WannaCry мы видим, что связанные с безопасностью критические патчи необходимо применять по мере их появления. Корпорация Microsoft выпустила исправления для всех актуальных версий Windows примерно два месяца назад, поэтому червь заразил только те компьютеры, на которых уязвимость MS17-010 не была закрыта.
Вот это спорный момент. К сожалению, та же Корпорация Microsoft не однократно давала нам повод опасаться устанавливаемых обновлений, т.к. после их установки с системами могли происходить совершенно не ожидаемые вещи. И что будет меньшим злом, увы, пока не ясно. Наши рекомендации - пропускать все обновления через "песочницу" и убедившись, что они встают нормально без вреда для системы и используемого ПО устанавливать на рабочие сервера и станции. Это требует ресурсов, бесспроно. Но сколько ресурсов у вас потребуется для восстановления зашифрованной информации или "убитого" обновлением сервера?
Используйте сетевые экраны и IDS/IPS
Из-за своеобразия механизма заражения некоторые антивирусные программы оказались бессильны против WannaCry, но межсетевые экраны вполне могли предотвратить проникновение червя в локальную сеть, если бы системные администраторы запретили внешние соединения на используемые протоколом SMB-порты. Еще лучше внедрить систему предотвращения вторжений, способную выявить и компенсировать уязвимость. Нелишним также будет включение на время эпидемий проверки внутреннего трафика, хотя бы для ключевых сегментов локальной сети.
Это хорошее решение, но оно только для крупных предприятий, потому что стоимость его достаточно высока.
Еще один интересный класс средств защиты от вторжения – так называемые сетевые песочницы. Они позволяют анализировать разные виды входящего трафика (веб, электронную почту и др.) в изолированной виртуальной среде и пресекать подозрительную активность. Чаще всего песочницы используются крупными компаниями для противодействия целевым атакам на ИТ-инфраструктуру, но есть и решения для защиты конечных рабочих станций.
Есть хорошее решение разработанное компанией CheckPoint, но вот модель продаж и дистрибуции еще у нее не доработана, поэтому настоятельно рекомендовать я его не могу.
Применяйте антивирусные решения и сканеры уязвимостей
Хотя антивирусные программы не всегда спасают от атак, использовать их необходимо. Каналов проникновения в систему очень много, и удаленная эксплуатация уязвимости Windows далеко не самый распространенный среди них. Куда чаще пользователи запускают вредоносное ПО сами. С этим антивирусы бороться умеют, если их базы данных регулярно обновляются. Кроме того, современные комплексные решения включают в себя возможности продвинутой защиты рабочих станций: контроль использования сетевого трафика приложениями, блокирование работы шифровальщиков, антифишинг и другие полезные фишки. Есть также инструменты для автоматического сканирования узлов сети и поиска незакрытых уязвимостей.
Защищайте привилегированные учетные записи
Наибольший вред корпоративной ИТ-инфраструктуре причиняют атаки на привилегированные учетные записи, поскольку в случае успеха злоумышленники получают практически неограниченный доступ к ресурсам компании. Для их защиты и управления парольными политиками стоит применять специальные решения, такие как Thycotic Secret Server.
Вот этот пункт очень часто не соблюдают. Порой можно встретить учетные записи обычных пользователей обладающих привилегированными правами, котоыре были для чего-то выданы, да так и оставлены.
Обучайте пользователей
Электронная почта – самый распространенный канал внедрения зловредов в систему. Пользователи часто получают письма со ссылками на вредоносные программы или вложенными исполняемыми файлами. Помимо применения уже упомянутых технических средств защиты, необходимо повышать осведомленность сотрудников – в конечном итоге именно они запускают зараженное ПО на своих компьютерах.
Обучение должно быть заложено в "курс молодого бойца", т.е. когда новый сотрудник проходит введение в должность на предприятии. И не останавливаться на этом, а еще периодически напоминать о потенциальных опасностях любыми способами - рассылками, плакатами на рабочем месте, в комнате отдыха, в столовй, упоминаниям на летучках, совещаниях и т.п. и т.д.
Здесь будут полезны специализированные обучающие программы, такие как Phishman. Система отправляет пользователям письма с признаками вредоносных вложений, фишинга и других угроз кибербезопасности (обычно применяются шаблоны оформления рассылок реальных зловредов, например того же WannaCry). Открывшим условно небезопасные ссылки и вложения сотрудникам высылается обучающий курс, после чего проводятся тестирование и новые рассылки.
Делайте резервное копирование
На случай если все меры предосторожности не дали результата, стоит иметь резервные копии файлов на не подключенном к компьютеру постоянном носителе. Разнообразных решений для организации бэкапа на рынке много, несложно подобрать подходящий вариант для дома, небольшого офиса или крупной компании. Размещение данных в публичном или частном облаке тоже помогает, но только при наличии возможности восстановить удаленные червем незашифрованные копии файлов (обычно это делается через веб-интерфейс сервиса), поскольку они могут исчезнуть в процессе синхронизации локального хранилища с сервером.
И все же
Важно понимать, что абсолютно надежной защиты не бывает – любой ее элемент может пропустить атаку. В подобной ситуации существует только один выход – строить многоуровневую систему кибербезопасности: своевременно обновлять ПО, использовать межсетевые экраны и системы предотвращения вторжений, внедрять современные антивирусные решения и, разумеется, регулярно проводить резервное копирование данных. Самой уязвимой частью ИТ-инфраструктуры при этом по-прежнему остается пользователь, и повышение его осведомленности – важнейшая задача любой компании.
По материалам www.it-world.ru