Пятый день не работает СДЭК. По предварительным данным ущерб СДЭКа может составлять от 300 млн. до 1 млрд руб.
Как руководитель бизнеса и системный администратор, я седею от таких историй и бегу проверять, а все ли сделано, чтобы снизить эти риски для нас и наших клиентов и что можно ещё придумать, чтобы их обезопасить, но не разорить на защите?
За последние несколько лет было зашифровано несколько крупных коммерческий компаний: Мираторг, Wildberries, теперь СДЭК, и это просто те компании, которые на слуху. Средний и малый бизнес, не так широко известный публике, страдает тихо. Я сам неоднократно сталкивался с такими ситуациями, и, к счастью, нас пытались взломать не такие ушлые ребята, поэтому удавалось выйти с наименьшими потерями или совсем без потерь.
Почему я говорю про «ушлых ребят», да потому что я твердо уверен, что, если кому-то нужно вас или нас взломать, то взломают. Моя задача как собственника бизнеса и как ИТ-аутсорсинга для своих клиентов – это снижать риски и потери от таких ситуаций настолько, насколько это возможно.
Часть моих клиентов – это те, которые изначально пришли за помощью с уже зашифрованными файлами, и да, волшебной технической пилюли не бывает, не всегда удается восстановить всю информацию, особенно если прошло какое-то время.
Также было два случая, когда текущих клиентов шифровали. Не самые приятные ситуации, но это наш опыт, пусть он и стоил нам потерянных нервных клеток, которые в отличии от бэкапов восстановлению не подлежат.
В обоих случаях мы смогли быстро возобновить работу клиентов, потому что мы делаем резервные копии. В первом случае причиной было открытие письма с вирусом. Во втором случае — выданный доступ для 1С специалиста. Злоумышленники получили доступ к компьютеру, с которого производилось подключение к серверу, а далее с этого компьютера, используя сохраненный VPN, получили доступ к серверу. В этом случае добрались даже до резервных копий на первом и втором носителе, тут нам и пригодился третий носитель, о существовании которого взломщик не знал.
Помимо скачивания и развертывания инфраструктуры из резервных копий с нуля, параллельно необходимо найти, как вас взломали, чтобы закрыть эту лазейку. Это удобнее всего делать, если у вас развернуты сервисы для мониторинга и логирования, поскольку зачастую все локальные журналы очищаются.
Но точно можно и нужно максимально усложнить ему задачу, а также снизить риски для самого бизнеса, поэтому вот, что нужно проверить или сделать в первую очередь:
Или, например, когда мы берем новую компанию и внедряем VPN, то можем услышать: «как это не удобно, раньше ты просто брал и подключался к серверу, а теперь нужно еще какой-то VPN запускать». Подчеркну, что пароли и VPN не требуют каких-то дополнительных затрат, но очень сильно повышают уровень защиты.
Используйте лицензионное программное обеспечение. Стоимость этого пункта необходимо оценивать каждой компании отдельно, исходя из ее нужд. Да, лицензионное ПО звучит просто, и мы его очень любим, так как это снижает количество постоянно возникающих проблем и рисков. Но при этом это не только один из самых дорогостоящих пунктов, но в текущей обстановке еще и острая проблема, так как многие компании ушли с российского рынка. Понятное дело, есть обходные пути закупки ПО, но не каждая компания может себе это позволить. Особенно это касается малого и среднего бизнеса.
Локальные бэкапы. Вторые копии старайтесь делать на сетевые хранилища или дисковые полки. 10Тб хранилище обойдется в районе 100 тыс. рублей. 100Тб в районе 500 тыс. рублей. Дисковые полки с большими объемами от 500 тыс. рублей и выше.
Работайте с паролями, организуйте мониторинг и логирование, это, конечно, требует определенного уровня компетенций и опыта, поэтому тут стоимость зависит от профессионального уровня вашего системного администратора, ИТ-отдела или компании, которая предоставляет вам эти услуги.
В любом случае стоимость утраченных данных или простоя вашего бизнеса может быть сильно больше всех затрат выше. Как мы все время стараемся найти оптимальный баланс между затратами клиента и безопасностью.
Как руководитель бизнеса и системный администратор, я седею от таких историй и бегу проверять, а все ли сделано, чтобы снизить эти риски для нас и наших клиентов и что можно ещё придумать, чтобы их обезопасить, но не разорить на защите?
За последние несколько лет было зашифровано несколько крупных коммерческий компаний: Мираторг, Wildberries, теперь СДЭК, и это просто те компании, которые на слуху. Средний и малый бизнес, не так широко известный публике, страдает тихо. Я сам неоднократно сталкивался с такими ситуациями, и, к счастью, нас пытались взломать не такие ушлые ребята, поэтому удавалось выйти с наименьшими потерями или совсем без потерь.
Почему я говорю про «ушлых ребят», да потому что я твердо уверен, что, если кому-то нужно вас или нас взломать, то взломают. Моя задача как собственника бизнеса и как ИТ-аутсорсинга для своих клиентов – это снижать риски и потери от таких ситуаций настолько, насколько это возможно.
Часть моих клиентов – это те, которые изначально пришли за помощью с уже зашифрованными файлами, и да, волшебной технической пилюли не бывает, не всегда удается восстановить всю информацию, особенно если прошло какое-то время.
Также было два случая, когда текущих клиентов шифровали. Не самые приятные ситуации, но это наш опыт, пусть он и стоил нам потерянных нервных клеток, которые в отличии от бэкапов восстановлению не подлежат.
В обоих случаях мы смогли быстро возобновить работу клиентов, потому что мы делаем резервные копии. В первом случае причиной было открытие письма с вирусом. Во втором случае — выданный доступ для 1С специалиста. Злоумышленники получили доступ к компьютеру, с которого производилось подключение к серверу, а далее с этого компьютера, используя сохраненный VPN, получили доступ к серверу. В этом случае добрались даже до резервных копий на первом и втором носителе, тут нам и пригодился третий носитель, о существовании которого взломщик не знал.
Что происходит во время шифрования и как долго восстанавливать данные после?
Я сталкивался с двумя видами шифровальщиков:- Полностью автоматические шифрование: без удаленного доступа к оборудованию, с использованием набора утилит для поиска уязвимостей в ИТ-инфраструктуре и запуска самого шифровальщика;
- Полуавтоматическое: с помощью различных утилит также ищется уязвимость для получения удаленного доступа и далее уже подключаются люди с определенными навыками, которые уже решают, как максимально зашифровать данные, но при этом сделать это так, чтобы как можно дольше об этом не узнали. Чаще такие работы делаются в ночное время, выходные дни или еще лучше на какие-нибудь продолжительные праздники, чтобы как можно дольше оставаться незамеченными.
Помимо скачивания и развертывания инфраструктуры из резервных копий с нуля, параллельно необходимо найти, как вас взломали, чтобы закрыть эту лазейку. Это удобнее всего делать, если у вас развернуты сервисы для мониторинга и логирования, поскольку зачастую все локальные журналы очищаются.
А для чего тогда антивирусы? Они же должны спасать от всех вирусов?
Антивирусные программы часто не могут защитить от вирусов-шифровальщиков из-за их быстрого развития и обновлений, использования социальных инженерий, техник (полиморфных и метаморфных) , которые меняют код для обхода детектирования, злоупотребления легитимными инструментами, использования уязвимостей нулевого дня, что усложняет распознавание вредоносного ПО.Как обезопасить себя и свой бизнес от вирусов-шифровальщиков?
На 100% процентов защититься от любых вирусов, в том числе от шифровальщиков, невозможно. На любую защиту и специалиста по безопасности найдется более опытный специалист, способный эту защиту обойти.Но точно можно и нужно максимально усложнить ему задачу, а также снизить риски для самого бизнеса, поэтому вот, что нужно проверить или сделать в первую очередь:
- Никакого прямого доступа к внутренним сервисам компании извне без использования VPN с шифрованием. Если используются, например, синхронизация данных с сайтом, то как минимум нужен белый список IP адресов;
- Использование лицензионного программного обеспечения. Взломанное ПО часто не обновляется, да и сам взлом может оставлять дыры, которыми могут воспользоваться неприятели. Бесплатный сыр бывает только в мышеловке;
- Регулярное обновление. В любом самом надежном программном обеспечение могут быть обнаружены уязвимости;
- Использование сложных паролей, контроль за компрометирующими паролями, например при увольнении сотрудников, в том числе из ИТ-отделов;
- Бэкапы, бэкапы и еще раз бэкапы! Как я писал выше, невозможно защититься на 100%, поэтому у вас должны быть бэкапы. Одного бэкапа недостаточно, мы рекомендуем использовать правило «3-2-1»;
- Использование мониторингов. Бэкапы — это, конечно, хорошо, но вы должны быть уверены, что они сделаны и что из этих бэкапов можно восстановить данные в полном объеме. И в целом нужно следить за обновлениями систем, чтобы уменьшить вероятность взлома уже по известным уязвимостям;
- Логирование. Мониторинг и логирование помогут разобраться, что и когда произошло, кто был виноват и что нужно исправить, чтобы такого больше не повторилось. В некоторых случаях при правильной настройке алертов можно обнаружить, что что-то пошло не так, уже на ранних этапах взлома;
- Проверка и обучение сотрудников элементарным знаниям фишинговой безопасности.
Сколько стоит обезопасить себя?
Чаще всего, если к нам обращается компания, которую уже зашифровали, то причиной шифрования является абсолютное пренебрежение элементарными правилами безопасности: в 90% случаях это отсутствие VPN, легкие или скомпрометированные пароли. При этом как системные администраторы мы сталкиваемся с непониманием клиентов, зачем нужны тяжелые пароли.Или, например, когда мы берем новую компанию и внедряем VPN, то можем услышать: «как это не удобно, раньше ты просто брал и подключался к серверу, а теперь нужно еще какой-то VPN запускать». Подчеркну, что пароли и VPN не требуют каких-то дополнительных затрат, но очень сильно повышают уровень защиты.
Используйте лицензионное программное обеспечение. Стоимость этого пункта необходимо оценивать каждой компании отдельно, исходя из ее нужд. Да, лицензионное ПО звучит просто, и мы его очень любим, так как это снижает количество постоянно возникающих проблем и рисков. Но при этом это не только один из самых дорогостоящих пунктов, но в текущей обстановке еще и острая проблема, так как многие компании ушли с российского рынка. Понятное дело, есть обходные пути закупки ПО, но не каждая компания может себе это позволить. Особенно это касается малого и среднего бизнеса.
Локальные бэкапы. Вторые копии старайтесь делать на сетевые хранилища или дисковые полки. 10Тб хранилище обойдется в районе 100 тыс. рублей. 100Тб в районе 500 тыс. рублей. Дисковые полки с большими объемами от 500 тыс. рублей и выше.
Работайте с паролями, организуйте мониторинг и логирование, это, конечно, требует определенного уровня компетенций и опыта, поэтому тут стоимость зависит от профессионального уровня вашего системного администратора, ИТ-отдела или компании, которая предоставляет вам эти услуги.
В любом случае стоимость утраченных данных или простоя вашего бизнеса может быть сильно больше всех затрат выше. Как мы все время стараемся найти оптимальный баланс между затратами клиента и безопасностью.
