CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

27 lipca 2015 at 11:50

Spis treści:

1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?


Znamy już odpowiedzi na kilka zasadniczych pytań w kwestii ataków złośliwego oprogramowania szyfrującego nasze dane, zdefiniowaliśmy swoje słabe punkty, miejsca gdzie dochodziło do ataków, wykorzystywane w organizacji oprogramowanie oraz stan obowiązujących procedur. Pora zebrać to w logiczną całość i ułożyć plan skutecznej ochrony.

Let’s do IT!

Zbieramy najpierw systemy i oprogramowanie, którymi dysponujemy w chwili obecnej. Najczęściej sprowadza się to wylistowania:

1. Oprogramowania antywirusowego (na stacjach klienckich i serwerach)

2. Systemów ochrony sieci IDS, IPS, Firewalle tradycyjne, Firewalle aplikacyjne i warstwy 7 modelu OSI.

3. Systemów ochrony antyspamowej i antywirusowej poczty korporacyjnej

4. Systemów wykrywania włamań, podejrzanych akcji, śledzenia sesji, połączeń itd. + przetwarzania tych informacji = systemy typu SIEM

Dużo? To zależy od punktu widzenia. Niby lista jest całkiem pokaźna, jednak dla zagrożeń typu Crypto* taka lista nie stanowi najmniejszego problemu – niestety…

Chyba każdemu z głównych graczy na rynku antywirusów przytrafiły się wpadki związane z niewykrywaniem zagrożenia typu Crypto*. Część z nich wykrywała niby większość ataków, ale tylko w wersji najszybszego ściągania DAT’ów + wykorzystywania sieci wymieniającej dane o zagrożeniach, co jednak mogło (i czasem powodowało) sporą ilość false positiv’ów – czyli nie ma róży bez kolców.

Kolejny minus „podkręcania” ochrony antywirusowej = spadek wydajności + wzrost obciążenia + dłuższe czasy dostępu do danych. Oczywiście z antywirusa rezygnować nie powinno się nigdzie, gdzie dostępy posiada użytkownik końcowy  – jednak poziom skanowania również należy utrzymywać na rozsądnym poziomie. Nie popadajmy w paranoję i nie ustawiajmy wszystkiego na „Very high” + skanowanie przy odczycie, zapisie, edycji, wyjściu na kawę, każdym oddechu użytkownika i to najlepiej za każdym razem pełne skanowanie – ot taka idealna wizja korporacyjnych bezpieczników… 😉 Tylko niestety często zapominają oni, że systemy czemuś służą (zarabianiu pieniędzy dla firmy) a każdy przestój/spowolnienie = mniejszy zarobek.

Skoro antywirusy okazują się niewystarczające – co z kolejnymi warstwami zabezpieczeń? Firewalle i inne systemy zabezpieczeń sieciowych są OK – ale niestety w przypadku Crypto* na niewiele się zdają – bo oprogramowanie w imieniu użytkownika po prostu szyfruje dane na komputerze i zasobach udostępnionych – czyli z punktu widzenia sieciowego są to operacje odczytu/zapisu danych po SMB (o ile w ogóle wyjdą na warstwę sieciową, a nie pozostaną tylko na stacji roboczej).

Co z ochroną poczty? O ile będziemy dysponować skuteczną ochroną poczty możemy uniknąć zagrożeń przesyłanych mailami, ale… Sytuacja adekwatna do oprogramowania antywirusowego on-site. Plus użytkownicy korzystają w pracy również poczty prywatnej na innych portalach, zagrożenia mogą ściągać również ze stron internetowych, poprzez Flash’a itd. – Więc sama ochrona poczty nas nie zabezpieczy.

Pozostają więc narzędzia analizy danych i tutaj należy skupić swoją uwagę. Jeśli mamy szybko aktualizowane „zagrożone” i „niebezpieczne” url’e z których korzystają nasi użytkownicy + jesteśmy w stanie to szybko wykryć i zareagować – możemy być skuteczniejsi niż wszystko inne razem wzięte. Pytanie czy dysponujemy takim systemem i co robimy w momencie wykrycia zagrożenia. Ile czasu minie od wykrycia zagrożenia w systemie + weryfikacji przez kogoś z zespołu bezpieczeństwa + przekazanie do IT + wykonanie powierzonych akcji. Niestety często zbyt długo :( więc tego typu akcje należy automatyzować. – Gdzie tylko się da automatyzować!

Pora więc podsumować narzędzia, które można wykorzystać do ochrony naszej korporacji (oprócz wymienionych już wcześniej) i którymi po krótce zajmiemy się w ostatniej części tego cyklu:

  • ochrona stacji roboczych (firewall lokalny, EMET, audyt plików, audyt rejestru systemowego)
  • ochrona serwerów plików (audyt plików, active file screening, zaawansowane narzędzia audytujące)
  • GPO (Applocker, Software Restriction Policy)
  • Powershell – automatyzacja wykrywania podejrzanych zachowań i automatyczna reakcja na nie.