W roku 2017 atak WannaCry doprowadziÅ‚ do blokady szpitalnych systemów informatycznych w różnych krajach Europy, unieszkodliwiajÄ…c ponad 200 tysiÄ™cy komputerów. Trudno o lepszy przykÅ‚ad destrukcyjnego potencjaÅ‚u tego rodzaju dziaÅ‚aÅ„.
Najbardziej znane przypadki to jak do tej pory WannaCry i Petya, jednak wedÅ‚ug przygotowanego przez Europol raportu Internet Organized Crime Threat Assessment (IOCTA) liczba cyberataków w dalszym ciÄ…gu roÅ›nie. PrzedsiÄ™biorstwa i instytucje muszÄ… zdać sobie sprawÄ™ z tego zagrożenia i podjąć odpowiednie kroki w celu przygotowania Å›rodowiska i mechanizmów ochrony oraz opracowania Å›rodków naprawczych. To kluczowy element, dziÄ™ki któremu można uniknąć niezaplanowanych i z dużym prawdopodobieÅ„stwem nieskutecznych dziaÅ‚aÅ„ podejmowanych w reakcji na ewentualny incydent. Silne, wielowarstwowe zabezpieczenia i strategia dziaÅ‚ania muszÄ… oprzeć siÄ™ na trzech elementach: edukacji użytkowników, wdrożeniu odpowiednich rozwiÄ…zaÅ„ oraz zastosowaniu wÅ‚aÅ›ciwych Å›rodków naprawczych. Krytyczne znaczenie ma również wdrożenie zwiÄ™kszajÄ…cych odporność Å›rodowiska mechanizmów tworzenia kopii zapasowych, odzyskiwania i odtwarzania danych, ponieważ pozwala to zachować ciÄ…gÅ‚ość funkcjonowania firmy w momencie pojawienia siÄ™ zagrożenia.
Edukacja użytkowników w przedsiÄ™biorstwie
JeÅ›li chodzi o przekazywanie wiedzy, należy objąć nim dwie istotne grupy pracowników, to jest personel informatyczny i użytkowników biznesowych. Ważne jest uwzglÄ™dnienie obu grup, ponieważ zagrożenia mogÄ… pojawić siÄ™ w obu Å›rodowiskach pracy.
Ataki typu ransomware realizowane sÄ… gÅ‚ównie za poÅ›rednictwem protokoÅ‚u RDP (Remote Desktop Protocol) lub innych mechanizmów zdalnego dostÄ™pu, wyÅ‚udzania danych (tzw. phishingu) oraz aktualizacji oprogramowania. W skrócie rzecz ujmujÄ…c, w wiÄ™kszoÅ›ci sytuacji cyberprzestÄ™pcy nie muszÄ… podejmować zbyt wielkich staraÅ„, by osiÄ…gnąć swój cel. WiedzÄ…c o tych mechanizmach, możemy Å‚atwiej wskazać obszary, w które należy szczególnie zainwestować, jeÅ›li chcemy zapewnić odporność sieci na ataki ransomware i uwzglÄ™dnić przy tym wektory ataku.
WiÄ™kszość administratorów systemów informatycznych korzysta z protokoÅ‚u RDP na co dzieÅ„, a wiele serwerów RDP jest połączonych bezpoÅ›rednio z Internetem. Należy zrezygnować z takiej konfiguracji. Administratorzy Å›rodowiska informatycznego mogÄ… stosować różne zaawansowane Å›rodki, np. specjalne adresy IP, przekierowywanie portów RDP albo skomplikowane hasÅ‚a, jednak dane jednoznacznie wskazujÄ…, że ponad poÅ‚owa ataków typu ransomware odbywa siÄ™ za poÅ›rednictwem protokoÅ‚u RDP. DÅ‚ugoterminowa strategia zapewnienia odpornoÅ›ci wyklucza możliwość bezpoÅ›redniego łączenia serwerów RDP z Internetem.
InnÄ… czÄ™sto stosowanÄ… metodÄ… ataku jest rozsyÅ‚anie wiadomoÅ›ci e-mail majÄ…cych na celu wyÅ‚udzenie danych (phishing). Każdemu użytkownikowi poczty zdarzyÅ‚o siÄ™ otrzymać wiadomość, która nie wyglÄ…da na autentycznÄ…. OczywiÅ›cie taki list należy od razu skasować, jednak nie wszyscy odbiorcy reagujÄ… w tej sytuacji we wÅ‚aÅ›ciwy sposób. Na rynku dostÄ™pne sÄ… popularne narzÄ™dzia, takie jak Gophish i KnowBe4, które pomagajÄ… w ocenie ryzyka zagrożenia phishingiem. W połączeniu ze szkoleniem, dziÄ™ki któremu pracownicy nauczÄ… siÄ™ rozpoznawać podejrzane wiadomoÅ›ci i odsyÅ‚acze, narzÄ™dzia do samodzielnej oceny stanowiÄ… skutecznÄ… liniÄ™ obrony przed atakami.
Trzeci istotny obszar ryzyka to wykorzystywanie sÅ‚abych punktów zabezpieczeÅ„. Konieczność aktualizacji systemów to staÅ‚y obowiÄ…zek wszystkich informatyków, ale obecnie nabiera on szczególnego znaczenia. Zadanie to nie wydaje siÄ™ wprawdzie zbyt ambitne, jednak przedsiÄ™biorstwo może szybko przekonać siÄ™ o jego istotnoÅ›ci, kiedy wystÄ…pi atak wykorzystujÄ…cy znanÄ… lukÄ™ w zabezpieczeniach, którÄ… daÅ‚oby siÄ™ zlikwidować po zastosowaniu poprawki. Warto pamiÄ™tać o instalowaniu bieżących aktualizacji newralgicznych kategorii zasobów informatycznych, czyli systemów operacyjnych, aplikacji, baz danych i oprogramowania wbudowanego urzÄ…dzeÅ„. Wiele odmian ataków typu ransomware, w tym WannaCry i Petya, opiera swoje dziaÅ‚anie na wczeÅ›niej wykrytych lukach w zabezpieczeniach, które zostaÅ‚y już jakiÅ› czas temu usuniÄ™te.
Wdrożenie rozwiązań i środki naprawcze
Nawet organizacje, które stosujÄ… sprawdzone procedury zapobiegania zagrożeniom typu ransomware, narażone sÄ… na pewne ryzyko. Edukacja użytkowników jest bardzo istotnym krokiem, jednak przedsiÄ™biorstwo musi przygotować siÄ™ także na najgorszy scenariusz. Kierownicy dziaÅ‚ów informatycznych i biznesowych muszÄ… pamiÄ™tać o jednej sprawie: konieczna jest pamięć masowa na kopie zapasowe, odznaczajÄ…ca siÄ™ maksymalnÄ… odpornoÅ›ciÄ….
Firma Veeam zaleca zastosowanie reguÅ‚y 3-2-1 opisujÄ…cej ogólnÄ… strategiÄ™ zarzÄ…dzania danymi. ReguÅ‚a 3-2-1 zaleca tworzenie co najmniej trzech kopii ważnych danych na co najmniej dwóch rodzajach noÅ›ników i przechowywanie co najmniej jednej z tych kopii w innej lokalizacji. ReguÅ‚a nie wymusza stosowania konkretnych typów sprzÄ™tu i jest na tyle elastyczna, że pozwala obsÅ‚użyć niemal każdy scenariusz awarii.
Ta „jedna” kopia wskazana w strategii 3-2-1 musi odznaczać siÄ™ szczególnÄ… odpornoÅ›ciÄ…. Oznacza to, że powinna być odizolowana fizycznie, odłączona od sieci lub niemodyfikowalna. IstniejÄ… różne typy noÅ›ników, na których można zapisać takÄ… kopiÄ™ danych w wyjÄ…tkowo bezpieczny sposób. Obejmuje to pamiÄ™ci taÅ›mowe, niezmienialne kopie w usÅ‚udze S3 lub obiektowej pamiÄ™ci masowej zgodnej z S3, noÅ›niki odizolowane fizycznie i odłączone od sieci, a także oprogramowanie do tworzenia kopii zapasowych i odzyskiwania danych po awarii dziaÅ‚ajÄ…ce w modelu „jako usÅ‚uga”.
Mimo prowadzonych szkoleÅ„ i wdrażania różnych technik przedsiÄ™biorstwa muszÄ… być przygotowane na prowadzenie dziaÅ‚aÅ„ naprawczych w przypadku skutecznego ataku. PodejÅ›cie Veeam opiera siÄ™ na prostej zasadzie: nie należy pÅ‚acić okupu. JedynÄ… opcjÄ… jest odtworzenie danych. Ponadto przedsiÄ™biorstwo musi mieć opracowany plan reagowania w momencie wykrycia zagrożenia. W pierwszej kolejnoÅ›ci należy skontaktować siÄ™ ze wsparciem technicznym. Klienci firmy Veeam majÄ… dostÄ™p do specjalnego zespoÅ‚u stosujÄ…cego konkretne procedury i gotowego udzielić pomocy w przejÅ›ciu procesu odzyskiwania danych w incydentach zwiÄ…zanych z atakami ransomware. Nie wolno narażać kopii zapasowych na zagrożenia, ponieważ majÄ… kluczowe znaczenie podczas przywracania sprawnoÅ›ci Å›rodowiska.
Niezależnie od rodzaju katastrofy jednym z pierwszych problemów, jakie należy rozwiÄ…zać, jest kwestia zapewnienia komunikacji. Musi istnieć plan okreÅ›lajÄ…cy sposoby kontaktu z odpowiednimi osobami bez wykorzystania sieci. Obejmuje to na przykÅ‚ad grupy odbiorców wiadomoÅ›ci tekstowych, odpowiednie numery telefonów i inne mechanizmy komunikacji w ramach rozszerzonego zespoÅ‚u. W książce adresowej powinni znaleźć siÄ™ także wewnÄ™trzni lub zewnÄ™trzni eksperci ds. bezpieczeÅ„stwa, reagowania na incydenty i zarzÄ…dzania tożsamoÅ›ciÄ….
NiezbÄ™dne jest również skontaktowanie siÄ™ z osobami odpowiedzialnymi za podjÄ™cie decyzji. Przed wystÄ…pieniem jakichkolwiek incydentów przedsiÄ™biorstwo musi okreÅ›lić, kto podejmuje decyzje o odtwarzaniu lub przełączaniu awaryjnym. Po podjÄ™ciu decyzji o odtwarzaniu danych konieczne jest wykonanie dodatkowych kontroli bezpieczeÅ„stwa, zanim zostanie przywrócone dziaÅ‚anie systemów. Należy także ustalić, czy najlepszym sposobem dziaÅ‚ania bÄ™dzie odtworzenie caÅ‚ej maszyny wirtualnej, czy też skuteczniejsze okaże siÄ™ odtwarzanie na poziomie plików. Proces odtwarzania również musi być zrealizowany w bezpieczny sposób, tj. należy uruchomić peÅ‚ne skanowanie antywirusowe i funkcje poszukiwania szkodliwego oprogramowania oraz wymusić zmianÄ™ haseÅ‚ użytkowników po przywróceniu systemów.
Zagrożenie atakami typu ransomware jest caÅ‚kiem realne, jednak dziÄ™ki odpowiedniemu przygotowaniu przedsiÄ™biorstwa sÄ… w stanie zwiÄ™kszyć odporność na incydenty i ograniczyć ryzyko utraty danych, strat finansowych i pogorszenia reputacji. Kluczowe jest zastosowanie podejÅ›cia wielowarstwowego. Warto przeszkolić personel informatyczny i pozostaÅ‚ych pracowników, aby zminimalizować ryzyko i zwiÄ™kszyć skuteczność dziaÅ‚aÅ„ prewencyjnych. Należy jednak również wdrożyć rozwiÄ…zania, które zapewniÄ… bezpieczeÅ„stwo danych i uÅ‚atwiÄ… tworzenie kopii zapasowych. Trzeba także przygotować siÄ™ na dziaÅ‚ania naprawcze w systemach przetwarzania danych podejmowane wówczas, gdy mechanizmy zabezpieczeÅ„ stosowane na pierwszych liniach obrony okażą siÄ™ niewystarczajÄ…ce. DziaÅ‚ania takie można zrealizować dziÄ™ki funkcjom tworzenia i odtwarzania peÅ‚nych kopii zapasowych oraz odzyskiwania po awarii.