X

BLOG GOV-IS

Izbrane zanimivosti, novice in novitete.

Blog

Kriptovirusi, škodljivo programje... Kako in ZAKAJ zaščititi podjetje pred izsiljevalci? (2. del)

Če se spogledujemo z obnovitvijo sistema, moramo vedeti, da to ni nikoli dobra odločitev za odstranjevanje virusov in druge škodljive programske opreme.

Kriptovirusi, škodljivo programje... Kako in ZAKAJ zaščititi podjetje pred izsiljevalci? (2. del)

V prejšnjem prispevku smo pisali o tem, kaj sploh je ransomware in kdo so tarče napadov. V tem prispevku bomo povedali nekaj o tem, kako se rešiti okužbe, kako preprečiti napad, kako se virusi sploh znajdejo v nekem omrežju in kakšne so dobre prakse odstranjevanja okužb.

 

Kako premagati okužbo?

Če je omrežje okuženo z izsiljevalsko programsko opremo, lahko poskusimo z nekaj ukrepi.

 

  1. Izolirajmo okužbo. Preprečimo virusu širjenje z ločevanjem okuženih računalnikov od ostalih, zapremo dostop do shrambe podatkov in omrežja.
  2. Identificirajmo okužbo. Iz sporočil, evidence na računalniku in orodij za identifikacijo lahko ugotovimo, za kakšen strain škodljive programske opreme gre.
  3. Poročanje. Čimprej prijavimo napad, da lahko pristojne službe pravočasno izmerijo širino napada in primerno ukrepajo.
  4. Preučimo možnosti. Obstaja veliko opcij, kako se odzvati na napad. Odločimo se, katera možnost je najbolj primerna za nas.
  5. Obnovitev. Uporabimo varnostne kopije in vire, da obnovimo računalnik oziroma celotno platformo.
  6. Načrt za preprečevanje ponovitve. Pripravimo poročilo o tem, kako se je okužba sploh zgodila in kaj lahko naredimo, da v prihodnje preprečimo ponovitev.

 

Izolirajmo okužbo.

Ocena in hitrost odkritja zlonamerne programske opreme je kritična, saj lahko ob pravočasnem odkritju preprečimo širjenje po celotnem omrežju in zavarujemo podatke, ki so vitalnega pomena za podjetje.

 

Prva stvar, ki jo lahko naredimo potem, ko posumimo na okužbo, je definitivno izolacija. Računalnik čim hitreje izklopimo dostop do omrežja (WiFi in kabel) in odklopimo vse zunanje podatkovne naprave. Kriptočrvi namreč aktivno iščejo povezave z omrežjem in drugimi računalniki, preprečiti pa želimo tudi komunikacijo škodljive programske opreme z njenim "Command and Control" serverjem.

 

Upoštevati moramo, da obstaja možnost, da ni okužen samo en računalnik in da je škodljivo programje že vstopilo v omrežje podjetja skozi več računalnikov, ali da se še skriva nekje med datotekami. Vse računalnike, ki so v času napada bili priklopljeni v mrežo, je potrebno obravnavati kot okužene, dokler ne ugotovimo razsežnosti okužbe.

 

Identificirajmo okužbo.

Izsiljevalski virusi se pogosto razkrijejo takrat, ko zahtevajo odkupnino. Obstaja več spletnih strani, ki so lahko v pomoč pri identifikaciji virusa (ID Ransomware).

 

Identifikacija virusa bo pomagala pri razumevanju tipa okužbe, kako se propagira, katere vrste datotek kriptira in kakšne so možnosti za odstranitev okužbe. Prav tako lažje prijavimo napad pristojnim varnostnim službam (policija).

 

Poročanje.

Vsem bo v pomoč, če napade prijavimo pristojnim službam, saj bodo lahko pristojne službe (posebni oddelki policije oz. varnostnih služb, ki so zadolženi za spletni kriminal), lahko pravočasno ukrepale in omejile obseg napadov. Prav tako se bodo napadi zabeležili v evidence, ki jih te službe vodijo.

 

Možnosti...

Kakšne so možnosti, ko postanemo žrtev napada?

  • Plačamo odkupnino;
  • Poskusimo odstraniti škodljivo programsko opremo;
  • Popolnoma izbrišemo vse sisteme in podatke, ter jih ponovno namestimo.

 

Plačevanje odkupnine je splošno gledano slaba odločitev. Plačevanje odkupnine bo vzpodbudilo razvoj izsiljevalske programske opreme, v veliko primerih pa tudi dekripcija podatkov ne bo uspešna ter, kljub plačilu odkupnine, podatkov ne boste dobili nazaj.

 

Ostaneta torej še ostali 2 možnosti.

 

Obnovitev oziroma popoln izbris podatkov.

Vedno se lahko odločimo, ali bomo poskusili izbrisati samo program, ki nam povzroča preglavice, ali bomo šli v popoln izbris in čiščenje vseh podatkov in sistemov in potem vzpostavili celoten sistem nazaj iz varnostnih kopij, ki so shranjene nekje na varnem.

Najbolje je popolnoma počistiti celoten sistem.

Da bomo lahko resnično prepričani, da smo odstranili vso škodljivo programje, moramo popolnoma pobrisati vse nosilce podatkov in ponovno namestiti celoten sistem. Formatiranje diskov nam bo zagotovilo, da smo odstranili čisto vse ostanke virusov.

 

Seveda je pomembno, da poznamo datum okužbe, tega pa lahko najdemo v datotekah virusa, sporočilih, ki smo jih prejeli, oz. s pomočjo drugih informacij. Velja upoštevati tudi to, da obstaja verjetnost, da je virus ždel kar nekaj časa v sistemu, preden se je aktiviral. Zaradi teh stvari je zelo pomembno poznavanje določenih virusov, kako delujejo in kakšno strategijo ubrati pri obnovi sistemov.

 

Če imamo dobro politiko hrambe varnostnih kopij na in zunaj lokacije, potem moramo obvezno uporabiti varnostne kopije z vira, ki po okužbi ni bil več priklopljen v omrežje.

 

Samo obnovitev sistema (System Restore) ponavadi ni dovolj.

Če se spogledujemo z obnovitvijo sistema, moramo vedeti, da to ni nikoli dobra odločitev za odstranjevanje virusov in druge škodljive programske opreme. Ker je to programje skoraj vedno zakopano v vse delčke sistemov, se samo na obnovitev sistema ne moremo zanesti. System Restore torej ni najboljša rešitev, vedno je potrebno imeti dobre varnostne kopije. Ker pa obstaja velika verjetnost okužbe varnostnih kopij, ki jih hranimo na lokaciji, je najbolje, če imamo kopijo še nekje zunaj podjetja, popolnoma izolirano od celotnega omrežja. S pomočjo te bomo lahko res učinkovito obnovili celoten sistem.

 

Kako preprečiti okužbo/ napad z izsiljevalskim programjem (Ransomware)?

Okužba z ransomware lahko pomeni katastrofo za podjetje. Dragoceni in nezamenljivi podatki so lahko izgubljeni, na desetine ali stotine ur porabljenih za odpravljanje okužbe in ponovno vzpostavitev sistemov.

 

Okužbe se razvijajo in načini napadov postajajo vedno bolj sofisticirani, zato se ne moremo zanašati na statistiko. Z dobrim načrtovanjem pa lahko vse skupaj preprečimo.

 

  1. Uporabljajmo anti-virusne programe in ostale varnostne ukrepe.
  2. Redne in pogoste varnostne kopije naj bodo izolirane iz lokalnih in odprtih omrežij. Varnostne kopije in obnovitev podatkov sta namreč najučinkovitejša rešitev za odziv na uspešen napad z izsiljevalsko opremo.
  3. Varnostne kopije, ki jih hranimo zunaj lokacije, naj bodo nedostopne s kateregakoli potencialno okuženega računalnika.
  4. Potrebno je skrbeti za namestitev najnovejših varnostnih posoditev, ki jih izdajajo proizvajalci programske opreme za OS in aplikacije, ki jih uporabljamo.
  5. Dobro je razmisliti o uvajanju varnostne programske opreme za zaščito končnih točk, poštnih strežnikov in celotnih omrežnih sistemov.
  6. Vzdrževanje kibernetske higiene - previdnost pri odpiranju e-pošte in raznih prilog,...
  7. Segmentiranje omrežij - izolirajmo kritične računalnike in s tem preprečimo širjenje zlonamerne programske opreme v primeru napada.
  8. Izklopimo razne pravice za uporabnike, ki jih ne potrebujejo.
  9. Uporabnikom določimo najnižja sistemska dovoljenja, ki jih potrebujejo za opravljanje svojega dela.
  10. Izobražujmo se o najboljših praksah preprečevanja okužb s škodljivo programsko opremo.

 

Jasno je, da je najboljši način za odziv na kibernetski napad ta, da do napada sploh ne pride. Poleg tega pa zagotavljanje, da so vsi občutljivi podatki v shranjeni v varnostnih kopijah in nedosegljivi za okužbe. Le to bo zagotovilo, da bosta v primeru kibernetskega napada izpad in izguba podatkov minimalna oz. ničelna.

Kaj pa vi? Ste že doživeli kakšen nezaželjen napad? Imate dobro strategijo, kako se temu izogniti?

Pri GOV-IS d.o.o. imamo znanje in izkušnje, z veseljem jih bomo delili z vami.