Как оставить Bad Rabbit в уходящем году и не платить вымогателям

«Шифровальщики»оказались крайне неприятным испытанием для компаний, в которых администраторыспустя рукава выполняли свою работу. Такой вирус, проникая на сервер илирабочую станцию под управлением ОС Windows, шифрует пользовательские данные и блокирует работукомпьютера. У владельцев есть всего три возможности: попытаться вылечитьзаражение, самим удалить все данные на диске и переустановить систему, или жезаплатить выкуп вымогателям (обычно – несколько десятков тысяч рублей вбиткойнах) в обмен на пароль для разблокировки. Причем выплата денег совершенноне означает, что преступники в ответ пришлют пароль и система будетразблокирована.

Вирусы-вымогателиизвестны еще с 2005 года, но около 10 лет они не привлекали такого пристальноговнимания специалистов, как сейчас. Атаки долгое время были локальными и неслишком прибыльными для организаторов. Наконец, злоумышленники достигли двухключевых целей: нашли способы сравнительно надежного проникновения накомпьютеры жертв (в частности, эксплойт EternalBlue – считается, что он былукраден хакерами у АНБ США) и разработали способ анонимного вывода денег,полученных в качестве выкупа, благодаря использованию биткойновых кошельков.Помогла им и пассивная позиция производителей ПО, месяцами не выпускавших патчидля уже известных уязвимостей. Поэтому к 2017 году мало что мешало началуэпидемий шифровальщиков.

Bad Rabbit и его «братья»-зловреды опасны тем, что безвозвратно шифруют данные на дисках. Если не проводится резервное копирование критичной информации, то будет как минимум нарушена непрерывность бизнеса

Россиюнакрыли несколько таких атак, самые масштабные из которых были порожденывирусами WannaCry,NotPetyaи Bad Rabbit.Последняя эпидемия случилась этой осенью, ее «виновник» Bad Rabbit распространялся под видом обновленияплагина Adobe Flash Player:пользователю предлагалось «обновить плеер», после чего нажатием на кнопку Install онзагружал зловреда на свой компьютер. Затем вирус самостоятельно распространялсяпо локальной сети.

Этоуже третья атака, эксплуатирующая одну давно известную уязвимость ОС. Microsoft выпустиласоответствующий патч MS17-010 для Windows еще в марте, в интернете было опубликованомножество сообщений об опасности и способах распространения шифровальщиков иметодах защиты, поэтому от Bad Rabbit пострадалите компании, которые не сделали из этого выводы, хотя все несложные инезатратные меры защиты были известны и CIO, и администраторам.

Bad Rabbit и его «братья»-зловреды опасны тем, чтобезвозвратно шифруют данные на дисках. Если не проводится резервное копированиекритичной информации, то будет как минимум нарушена непрерывность бизнеса. Бизнес-процессы,требующие участия операторов ПК, могут быть остановлены, серверы заблокированы.И здесь серьезную опасность зловреды представляют для АСУ ТП, так какбольшинство из них эксплуатируется на уязвимых ОС и использует уязвимый софт,для которого может просто не существовать заплаток, закрывающих «дыры». Апоследствия нештатной остановки производства могут быть драматическими, вплотьдо техногенных аварий.

Обычнотакие системы изолированы от интернета, и официальных сообщений об атакахшифровальщиков на производственную инфраструктуру не было (и вряд ли следует ихожидать из-за информационной политики самих пострадавших компаний), но понеофициальным каналам проходила информация о проблемах на производстве у ряда крупных предприятийво время эпидемий. Также из СМИ известно, что пострадали некоторые банки,аэропорты и силовые структуры.

Как защититься от шифровальщика?

Нужнопомнить, что уязвимости эксплуатируются шифровальщиками не только на рабочихстанциях, но и на серверах. Так, многие видели в сети фотографии банкоматов сзаблокированными вирусом экранами. Хотя сама банковская сеть и закрыта, но ееможно скомпрометировать, например, принеся на работу зараженный ноутбук. Итогда, если сеть сконфигурирована неправильно и в ней открыты порты,используемые зловредами, к прочим потерям банка добавятся убытки от простоясети банкоматов.

Намв каком-то смысле повезло, поскольку эффективные базовые методы защиты отзловредов типа WannaCry, NotPetya и Bad Rabbit не требуют сверхспособностей отадминистраторов и внедрения средств защиты по цене самолета. «Главное – настроитьобновление инфраструктуры в соответствии с регламентами, – говорит Ильяс Киреев, старший проектировщикдепартамента защиты информационных систем RedSys. – Доступ в интернет следует не просторегулировать, а запрещать доступ в TOR-сети, закрывать неиспользуемые порты,заниматься анализом уязвимостей, при необходимости подключая сервисыспециализирующихся на информационной безопасности компаний. Кроме того,совершенно необходимо регулярно резервировать критические данные и повышатьосведомленность пользователей о возможных угрозах и реагировании на них».

Конкретныемеры защиты на предприятии зависят от оценки рисков и наличия специфическихтребований регуляторов в области информационной безопасности. Бизнес, не связанныйобязательными условиями по организации мер защиты, будет считать деньги:сколько он может потерять от вирусной атаки, и в какую сумму ему обойдется защита.«Если взять сумму потенциальных потерь от атаки и потратить ее на инструментыинформационной безопасности, можно внедрить комплексную защиту, котораяубережет не только от шифровальщика, – говорит Ильяс Киреев. – В нее могутвходить антивирусные «песочницы», антиспам-шлюзы, endpoint-решения для конечныхустройств, средства защиты виртуальной среды, а также услуги Security Operations Center или Network Operations Center. Рекомендуется использоватьсовременные решения для безопасности: межсетевой экран нового поколения NGFW, универсальные шлюзы безопасности UTM ит.д. Если реализована комплексная защита и своевременно устанавливаютсяобновления ПО, то риски, связанные с возможными атаками шифровальщиков,минимизируются».

АлексейАмосов, директордепартамента программно-аппаратных комплексов RedSys, напоминает ободном из главных правил ИТ – резервировании данных: «Все данные в компаниидолжны быть разделены на категории в зависимости от их ценности. При оценкенужно учитывать не только стоимость самих данных, но и ущерб, который можетнаступить в результате простоя систем. Современное ПО резервного копирования поддерживает работус данными с учетом их ценности».

Допустимоевремя простоя систем следует включать в расчеты при выборе технологии резервногокопирования. Например, если используется ленточный носитель, то при большихобъемах данных срок восстановления может достигать нескольких дней. Болеесовременные и дорогие системы позволяют сделать то же самое всего за десяткиминут. Кроме времени восстановления данных из резервной копии есть и такойключевой параметр, как время создания последней резервной копии – это момент,на который можно «откатиться». При сбое все, что было наработано после этойточки, теряется. В некоторых системах копии можно делать раз в неделю, внекоторых – ежесуточно: чем чаще делается бэкап, тем выше цена. Есть системы, вкоторых вообще недопустима потеря данных, и стоимость решения для защитыинформации в них крайне высока, буквально стремится к бесконечности. В целом жепри выборе руководствуются компромиссом между стоимостью системы с учетом ееадминистрирования и величиной ущерба при возможной потере определенных данныхза конкретный период.

Резервноекопирование – достаточно надежный способ минимизировать ущерб от щифровальщикаили другого подобного зловреда: «Если рассматривать вопрос потери данных вцелом, то вирус – это частный случай, – говорит Алексей Амосов. – Вмешательствозлоумышленников, случайное уничтожение данных, сбои ПО и железа – все это можетпривести к точно такому же результату, как и атака Bad Rabbit. Такие события время от временислучаются, поэтому организация, которая не сохраняет резервные копии, обреченана вымирание».

«Резервноекопирование – один из ключевых методов обеспечения непрерывности бизнеса, хотяв рамках данной проблематики у нас есть и другие способы помочь клиентам, –добавляет Ильяс Киреев. – Среди них можно назвать организационно-технические мероприятияпо защите информации, анализ уязвимостей, патч-менеджмент, и т.д.».

Задачирезервного копирования касаются, как правило, серверной инфраструктуры. Рабочиестанции обычно не защищают таким образом, поскольку по регламентам многихкрупных компаний данные на них вообще не должны храниться, а в случае поражениязловредом переустановить ОС из эталонной копии и «накатить» необходимыепрограммы не представляет никаких трудностей. Это – последнее средство защиты,когда другие инструменты не обеспечили сохранность данных, и время от времени толькооно и спасает компании от очень больших проблем – потому что больше некому. 


Источник: CNEWS


Добавить комментарий

Оставить комментарий

Кликните на изображение чтобы обновить код, если он неразборчив