CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

Spis treści:

1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?


Zakładamy, że po wcześniejszej analizie udało się znaleźć odpowiedzi na większość zadanych pytań. Mamy już pewne przemyślenia, ale jednak nadal brakuje pełnego obrazu tego, co się wydarzyło. Musimy zadać sobie kolejną serię pytań – tym razem z grupy „Gdzie\Skąd?”

Gdzie\skąd miał miejsce atak? Czy był wymierzony z internetu (złośliwa strona? Złośliwy link? Złośliwa reklama? Przekierowanie? Załącznik w mailu? Dziura we flash’u?… ) czy też jego epicentrum miało miejsce od środka (zainfekowany pendrive/cdrom/dysk wymienny? Zainfekowana stacja prywatna? Zainfekowana stacja korporacyjna? Zainfekowany serwer? Nieznane urządzenie w sieci wi-fi…). Odpowiedź na to pytanie czasami nie jest trywialna i jej znalezienia zależy od ilości i jakości logów, które zbieramy. Często pewnie nie uda się udzielić jednoznacznej odpowiedzi na zadane pytanie – a wtedy pozostanie głęboka analiza zachowania danego złośliwego oprogramowania i mechanizmów, które ono wykorzystuje do infekowania hostów.

Kolejne bardzo istotne pytanie związane z pytaniem z wcześniejszej części (co możemy poświęcić, a co jest krytyczne?) Gdzie znajdowały się zaszyfrowane obecnie dane? Czy był to jedynie profil użytkownika na komputerze lokalnym? Czy zaszyfrowane zostały również zasoby sieciowe pod-montowane na komputerze (udziały sieciowe)? Urządzenia przenośne typu pendrive’y czy dyski USB? Oraz co z pozostałymi katalogami i plikami na komputerze lokalnym? Czy zaszyfrowane zostały również dane programów i systemowe? Czy atak ograniczył się do danych „biznesowych”?

Po odpowiedzi na powyższe pytanie niejako naturalnie wchodzimy w następne pytanie z grupy, czyli „Gdzie się bronić?” Czy obrona powinna ograniczać się jedynie do stacji roboczej? Czy może również powinna zostać rozszerzona na serwerach? Co z siecią? Czy nie powinniśmy bardziej ograniczać dostępów do sieci korporacyjnej? Oraz co z warstwą internetu? Czy użytkownicy powinni mieć nieograniczony dostęp do internetu? Być może również na warstwie styku intranetu z internetem wymagana jest lepsza ochrona (zarówno www, jak i maili)?

Oczywiście pewnie każdemu nasuwa się odpowiedź, ze ochrona musi być i to na każdej warstwie – jasne, tylko że w danej chwili jesteśmy atakowani i zależy nam na tym, żeby osiągnąć „Quick win” a nie budować infrastrukturę i procesy od nowa – bo w tym czasie cała korporacja będzie już zaszyfrowana, zanim wdrożymy naszą super-hiper bezpieczną wizję środowiska IT 😉 Dopiero gdy wygramy bitwę i będziemy w stanie odpierać ataki możemy przejść do działań mających na celu wygranie wojny – inaczej biznes i również my pójdziemy  z torbami… Z drugiej jednak strony nie popadajmy w skrajności i w przypadku wykrycia infekcji nie odcinajmy wszystkim od razu dostępu do internetu, bo też nie o to chodzi – nie działajmy szybciej niż myślimy – pośpiech nigdy nie jest dobrym doradcą! 🙂

One thought on “CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *