Jak nie mieć zaszyfrowanych danych i płacić okupu za odszyfrowanie lub nieujawnienie?

#BeToNowe filary cyberbezpieczeństwa

Wyobraź sobie sytuację w jakiej był m.in. Garmin.
Z dnia na dzień przestajesz mieć dostęp do swoich plików, danych, systemów, zostajesz pozbawiony backupu, a w dodatku twoje dane są w posiadaniu przestępców. Co teraz?

Słowa klucz to Trickbot, Ryuk, Dyre, Ancor – to nazwy złośliwego oprogramowania, którym posługują się przestępcy w takich atakach.

Co w takiej sytuacji zrobisz?
Możesz odzyskać dane z archiwum (czyli backup rozumiany jako kopia zapasowa na innych nośnikach, w innym miejscu). Spoko, masz swoje dane. A co z drugim elementem? Ujawnienie danych, które są w posiadaniu przestępców? Możesz zaczynać procedury z szuflad „RODO” i „Ubezpieczenie”. Ale tutaj nigdy nie ma dobrych rozwiązań.

Proponuję wejść na ścieżkę zapobiegania. To będzie tańsze, bardziej opanowane, skuteczne.
Takie działanie to część czegoś co można nazwać BCP – Business continuity planning. Planowanie ciągłości działalności (PCD). To nic innego jak przygotowanie się na najgorsze scenariusze wynikające z analizy ryzyka.

Poniżej kilka podstawowych elementów, z których zbudujesz solidne podstawy łagodzące konsekwencje, nie dopuszczające do zrealizowania scenariusza utraty danych, kompromitacji danych.

Te punkty wynikają bezpośrednio z raportu, o którym pisałem tutaj. Sam raport znajdziesz tu.
Uwzględniają własne i cudze doświadczenie i zostały opisane uwzględniając kontekst najnowszych przypadków i doświadczeń.

  1. Zadbaj o patchowanie (aktualizacje, poprawki w oprogramowaniu i konfiguracjach) tak szybko jak to jest możliwe od momentu publikacji tego przez producenta.
  2. Zadbaj o to by systemy były tak skonfigurowane by pracownik bez praw administratora mógł z nich korzystać i nie musiał niczego sam naprawiać,
  3. Zmieniaj hasła wtedy gdy wiesz, że zostały skompromitowane lub są słabe albo ponownie użyte. Możesz zasubskrybować informacje z projektu Troya Hunta https://haveibeenpwned.com/NotifyMe
    Daj pracownikom narzędzie do zarządzania hasłami, tzw manager haseł.
    3.1. Pracuj na kontach wysoko uprawnionych tylko kiedy musisz.
    3.2. Wyłącz domyślne hasła.
    3.3. Skup się na wykrywaniu programów wykradających hasła.
  4. Używaj i wymuś używanie wieloskładnikowego logowania.
    Przykłady narzędzi to:
    https://swivelsecure.com/
    https://duo.com/
    https://secfense.com/
  5. Wyłącz nie używane Remote Desktop Protocol (RDP) i monitoruj jego logi,
    5.1 Co najmniej ogranicz jego używanie z zewnątrz.
  6. Zaimplementuj listę znanych i dozwolonych aplikacji, jednocześnie opracuj procedurę udzielenia zgody na pozostałe aplikacje zgodnie z jednorazowym zapytaniem pracowników,
    6.1. ogranicz używanie PowerShell do skryptów podpisanych.
    6.2. Monitoruj zmiany w rejestrach systemowych i procesach uruchamianych przy starcie systemu operacyjnego.
  7. Przeprowadź audyt uprawnień użytkowników, poziomu kont uprzywilejowanych i określ (oraz zastosuj) politykę ograniczania dostępu i dostępu bazującą na ograniczonych uprawnieniach. Może warto zastosować narzędzia klasy PAM (Privilege Access Management),
  8. Monitoruj dzienniki logów w zakresie kont (i ich uprawnień) i weryfikuj legitność (intencja powstania konta, jego zasadność i intencje stworzenia by wykluczyć nadużycie uprawnień i tworzonych kont użytkowników),
  9. Skanuj sieć w poszukiwaniu otwartych portów i zamykaj te nadmiarowo otwarte,
  10. Zidentyfikuj kluczowe assety (urządzenia, sieci, procesy, zasoby, dane), stwórz politykę backupu (zgodnie z zasadą 3-2-1), która będzie zawierać jedną kopię poza siedzibą firmy, nie podłączoną do sieci. Sprawdzaj czy kopie zapasowe działają. Przeprowadź test przełączenia do ośrodka zapasowego.
  11. Zaimplementuj segmentację sieci, która uniemożliwi przedostanie się ze skompromitowanego assetu do tego w innym segmencie.
  12. Zadbaj o ochronę antywirusową na końcowych urządzeniach (oraz serwerach), monitoruj zapytania DNS i ruch w sieci. Zadbaj o to by te rozwiązania się automatycznie aktualizowały, oraz byś w jednym miejscu widział wykryte zdarzenia i mógł zidentyfikować incydenty.
    12.1. Zacznij używać bazujących na reputacji usługach DNS, np. Cisco Umbrella

Dodatkowe punkty budujące solidną ochronę przed zaszyfrowaniem i wyciekiem danych:

  1. Zacznij szkolić ludzi w kierunku wyrabiania nowych nawyków (zastanawiania się, konsultowania, raportowania zagrożeń). Przekaż im podstawy cyberbezpieczeństwa, które będą mogli wykorzystać w życiu osobistym i zawodowym. Rób to regularnie angażując pracowników.
    Kadra zarządzająca jest zawsze przykładem, który naśladują pracownicy.
  2. Zadbaj o właściwą procedurę reagowania na wykryte zagrożenie, która pozwoli poinformować innych pracowników, oraz podjąć decyzję o szczegółowej analizie ataku (lub zaniechaniu takiej analizy).

Jeśli szukasz poradnika z radami dla zwykłego użytkownika w okolicznościach życia osobistego lub prowadzenia małego biznesu, zerknij tutaj do dekalogu z radami.

EDIT 09.11.2020 dodałem i rozszerzyłem punkty wynikające z tego dokumentuRANSOMWARE W NOWEJ ODSŁONIE„. RCB opublikowało artykuł stworzony przez Ireneusza Tarnowskiego (ekspert ds. cyberzagrożeń) z Santander Bank Polska.
Bardzo dobry artykuł dający duże tło historyczne dla ataków DoS (Denial-of-Service, niedostępność usługi lub systemu komputerowego) czyli popularne szyfrowanie danych, oraz żądanie okupu za nieujawnienie danych.

#BeToNowe filary cyberbezpieczeństwa to budowanie spójne, konsekwentne i optymalne.

Spójne – zawierające jedną myśl przewodnią, obecną na każdym polu ochrony, uwzględniającą ludzi, maszyny i procesy.

Konsekwentne – realizowane wg planu, do końca, zgodnie z pierwotnym zamysłem i priorytetami.

Optymalne – uwzględniające kontekst organizacji, modelu biznesowego, uwarunkowań i okoliczności na rynku.