Хотите работать — заплатите. Или как делать бизнес в мире, где вирусы-шифровальщики — это новый рэкет

Пятый день не работает СДЭК. По предварительным данным ущерб СДЭКа может составлять от 300 млн до 1 млрд рублей. Как руководитель бизнеса и системный администратор, я седею от таких историй и бегу проверять, а все ли сделано, чтобы снизить эти риски для нас и наших клиентов и что можно ещё придумать, чтобы их обезопасить, но не разорить на защите?

Хотите работать — заплатите. Или как делать бизнес в мире, где вирусы-шифровальщики — это новый рэкет

За последние несколько лет было зашифровано несколько крупных коммерческий компаний: Мираторг, Wildberries, теперь СДЭК, и это просто те компании, которые на слуху. Средний и малый бизнес, не так широко известный публике, страдает тихо. Я сам неоднократно сталкивался с такими ситуациями, и, к счастью, нас пытались взломать не такие ушлые ребята, поэтому удавалось выйти с наименьшими потерями или совсем без потерь. Почему я говорю про «ушлых ребят», да потому что я твердо уверен, что, если кому-то нужно вас или нас взломать, то взломают. Моя задача как собственника бизнеса и как ИТ-аутсорсинга для своих клиентов – это снижать риски и потери от таких ситуаций настолько, насколько это возможно.

Хотите работать — заплатите. Или как делать бизнес в мире, где вирусы-шифровальщики — это новый рэкет

Часть моих клиентов – это те, которые изначально пришли за помощью с уже зашифрованными файлами, и да, волшебной технической пилюли не бывает, не всегда удается восстановить всю информацию, особенно если прошло какое-то время.

Также было два случая, когда текущих клиентов шифровали. Не самые приятные ситуации, но это наш опыт, пусть он и стоил нам потерянных нервных клеток, которые в отличии от бэкапов восстановлению не подлежат.

В обоих случаях мы смогли быстро возобновить работу клиентов, потому что мы делаем резервные копии. В первом случае причиной было открытие письма с вирусом. Во втором случае — выданный доступ для 1С специалиста. Злоумышленники получили доступ к компьютеру, с которого производилось подключение к серверу, а далее с этого компьютера, используя сохраненный VPN, получили доступ к серверу. В этом случае добрались даже до резервных копий на первом и втором носителе, тут нам и пригодился третий носитель, о существовании которого взломщик не знал.

Что происходит во время шифрования и как долго восстанавливать данные после?

Я сталкивался с двумя видами шифровальщиков:

  • Полностью автоматические шифрование: без удаленного доступа к оборудованию, с использованием набора утилит для поиска уязвимостей в ИТ-инфраструктуре и запуска самого шифровальщика;

  • Полуавтоматическое: с помощью различных утилит также ищется уязвимость для получения удаленного доступа и далее уже подключаются люди с определенными навыками, которые уже решают, как максимально зашифровать данные, но при этом сделать это так, чтобы как можно дольше об этом не узнали. Чаще такие работы делаются в ночное время, выходные дни или еще лучше на какие-нибудь продолжительные праздники, чтобы как можно дольше оставаться незамеченными.

После шифрования всех файлов и баз данных, а также обнаружения этого факта необходимо определить, какие данные были затронуты. Затем начинается кропотливая работа по восстановлению. Скачивание большого объема данных с локальных, а тем более с удаленных носителей занимает много времени, поэтому не стоит ожидать, что все заработает через пару часов. Иногда этот процесс восстановления может занимать несколько дней. Помимо скачивания и развертывания инфраструктуры из резервных копий с нуля, параллельно необходимо найти, как вас взломали, чтобы закрыть эту лазейку. Это удобнее всего делать, если у вас развернуты сервисы для мониторинга и логирования, поскольку зачастую все локальные журналы очищаются.

А для чего тогда антивирусы? Они же должны спасать от всех вирусов?

Антивирусные программы часто не могут защитить от вирусов-шифровальщиков из-за их быстрого развития и обновлений, использования социальных инженерий, техник (полиморфных и метаморфных) , которые меняют код для обхода детектирования, злоупотребления легитимными инструментами, использования уязвимостей нулевого дня, что усложняет распознавание вредоносного ПО.

Как обезопасить себя и свой бизнес от вирусов-шифровальщиков?

На 100% процентов защититься от любых вирусов, в том числе от шифровальщиков, невозможно. На любую защиту и специалиста по безопасности найдется более опытный специалист, способный эту защиту обойти. Но точно можно и нужно максимально усложнить ему задачу, а также снизить риски для самого бизнеса, поэтому вот, что нужно проверить или сделать в первую очередь:

  • Никакого прямого доступа к внутренним сервисам компании извне без использования VPN с шифрованием. Если используются, например, синхронизация данных с сайтом, то как минимум нужен белый список IP адресов;

  • Использование лицензионного программного обеспечения. Взломанное ПО часто не обновляется, да и сам взлом может оставлять дыры, которыми могут воспользоваться неприятели. Бесплатный сыр бывает только в мышеловке;
  • Регулярное обновление. В любом самом надежном программном обеспечение могут быть обнаружены уязвимости;

  • Использование сложных паролей, контроль за компрометирующими паролями, например при увольнении сотрудников, в том числе из ИТ-отделов;

  • Бэкапы, бэкапы и еще раз бэкапы! Как я писал выше, невозможно защититься на 100%, поэтому у вас должны быть бэкапы. Одного бэкапа недостаточно, мы рекомендуем использовать правило «3-2-1»;

  • Использование мониторингов. Бэкапы — это, конечно, хорошо, но вы должны быть уверены, что они сделаны и что из этих бэкапов можно восстановить данные в полном объеме. И в целом нужно следить за обновлениями систем, чтобы уменьшить вероятность взлома уже по известным уязвимостям;

  • Логирование. Мониторинг и логирование помогут разобраться, что и когда произошло, кто был виноват и что нужно исправить, чтобы такого больше не повторилось. В некоторых случаях при правильной настройке алертов можно обнаружить, что что-то пошло не так, уже на ранних этапах взлома;

  • Проверка и обучение сотрудников элементарным знаниям фишинговой безопасности.

Сколько стоит обезопасить себя?

Чаще всего, если к нам обращается компания, которую уже зашифровали, то причиной шифрования является абсолютное пренебрежение элементарными правилами безопасности: в 90% случаях это отсутствие VPN, легкие или скомпрометированные пароли. При этом как системные администраторы мы сталкиваемся с непониманием клиентов, зачем нужны тяжелые пароли. Или, например, когда мы берем новую компанию и внедряем VPN, то можем услышать: «как это не удобно, раньше ты просто брал и подключался к серверу, а теперь нужно еще какой-то VPN запускать». Подчеркну, что пароли и VPN не требуют каких-то дополнительных затрат, но очень сильно повышают уровень защиты.

Используйте лицензионное программное обеспечение. Стоимость этого пункта необходимо оценивать каждой компании отдельно, исходя из ее нужд. Да, лицензионное ПО звучит просто, и мы его очень любим, так как это снижает количество постоянно возникающих проблем и рисков. Но при этом это не только один из самых дорогостоящих пунктов, но в текущей обстановке еще и острая проблема, так как многие компании ушли с российского рынка. Понятное дело, есть обходные пути закупки ПО, но не каждая компания может себе это позволить. Особенно это касается малого и среднего бизнеса.

Локальные бэкапы. Вторые копии старайтесь делать на сетевые хранилища или дисковые полки. 10Тб хранилище обойдется в районе 100 тыс. рублей. 100Тб в районе 500 тыс. рублей. Дисковые полки с большими объемами от 500 тыс. рублей и выше.

По стоимости бэкапов в облаке. Мы чаще всего в России пользуемся FirstVDS или Cloud4box. За 5Тб в районе 3 500 рублей в месяц.

Работайте с паролями, организуйте мониторинг и логирование, это, конечно, требует определенного уровня компетенций и опыта, поэтому тут стоимость зависит от профессионального уровня вашего системного администратора, ИТ-отдела или компании, которая предоставляет вам эти услуги.

В любом случае стоимость утраченных данных или простоя вашего бизнеса может быть сильно больше всех затрат выше. Как ИТ-аутсорсинг мы все время стараемся найти оптимальный баланс между затратами клиента и безопасностью.

Сделайте чекап прямо сейчас!

Сделайте аудит на поиск уязвимостей, разберитесь, делается ли у вас резервное копирование и где хранятся копии – это то, что вам нужно было сделать ещё вчера. Если не знаете, как сделать это правильно или хотите понять, насколько грамотно эта система выстроена в вашем бизнесе – то я могу помочь с этим, обращайтесь.

2222
17 комментариев

Как сделать бэкап, чтобы не перетерли сам бэкап?

1

Писать на магнитную ленту без доступа в сеть

3

0. Бэкап должен лежать не на защищаемом устройстве
1. Должна быть резервная копия бэкапа на удаленном устройстве, вне защищаемой инфраструктуры
2. Права доступа к бэкапу должны быть ограничены.

2

Совпадение, что аудит по ИТ безопасности делали в прошлом году спецслужбы ))) делали оценку безопасности

Совпадение?

1

«Совпадение? Не думаю» ))

1

вот казалось бы, что эти компании много зарабатывают, но готовности к кибератакам у них нет

1