2. rész

A zsarolóprogramokkal támadó kiberbűnözők a biztonsági mentéseket is támadják. Megpróbálják megkeresni a rendszereink biztonsági másolatait, mentéseit, megszerzik, majd törlik ezeket. Ha az ilyen zsarolóvírus támadásokat is meg tudja akadályozni, akkor egy zsarolóvírus támadásból menekülve anélkül tudja visszaállítani a rendszereit, hogy bármilyen formában egyezkednie kellene a zsarolókkal. A megoldás kulcsa a visszaszámlálás: 3 – 2 -1! Hogy mit jelent a visszaszámlálás? A cikkünk előző részében felvázoltuk, mit is jelent ez a szabály. Cikkünk mai részében általánosabb kérdésekről írunk, olvassa el a folytatást …

A támadások megakadályozása

A ransomware támadók csak néhány módszer segítségével szerezhetnek a hálózatukhoz hozzáférést, ezek

‒ a hitelesítő adatok megszerzése adathalászattal;
‒ rosszindulatú programok futtatása a hozzáféréshez, és végül, de nem utolsósorban a
‒ nem biztonságos RDP-portokon keresztül történő belépés ‒ ez utóbbi a legnépszerűbb a támadók között.

Ezek a módszerek jól beazonosítható bevált gyakorlatok sorozatára mutatnak, ideértve többek között a következő javaslatokat is:

‒ rendszeresen, és a megjelenésükkor azonnal alkalmazzák a biztonsági frissítéseket a szoftverre;
‒ használjanak szerepkör-alapú hitelesítést, és a legkevesebb jogosultsági szabályt alkalmazzák ezekre a szerepkörökre;
‒ szigorú hitelesítési szabályokat léptessenek érvénybe, ideértve a két tényezős hitelesítést is;
‒ rendszeresen frissített malware szkennelő szoftvert, behatolás-észlelést, tűzfalakat és más szokásos biztonsági termékeket használjanak;
‒ használjanak SIEM megoldást, hogy lépést tudjanak tartani a hálózat fejlesztéseivel;
‒ zárja le hálózati a szolgáltatásokat (mint például az RDP) ott, ahol nem szükségesek, viszont érvényesítsenek hitelesítési szabályokat számukra, ahol szükséges a használatuk.

Rengeteg jó tanácsot találhatnak a témával kapcsolatban a HPE fehér könyvében (angol nyelvű):
Védje meg a Windows SMB fájlinfrastruktúráját a ransomware-ektől

Használjon mélyreható védelmet

A mélyreható védelem alapelve az, hogy egy biztonsági intézkedés egyik kudarca sem vezethet a biztonság megsértéshez. A fenti tanács tartalmazza a mélyreható védelem elvét.
A 3-2-1 biztonsági mentési szabály célja az adatok védelme

‒ még akkor is, ha hardverhiba van;
‒ még akkor is, ha helyi biztonsági esemény történt;
‒ még akkor is, ha tűz keletkezett vagy természeti katasztrófa történt.

Az erős hitelesítés, a rosszindulatú programok ellenőrzése és a szolgáltatások lezárása mind részben különböző módon véd az azonos típusú támadásokkal szemben.
A biztonsági szakemberek számára a mélyreható védelem olyan filozófia, amelynek a teljes informatikai infrastruktúrára hatnia kell. Néhány biztonsági intézkedésen elkerülhetetlenül egyszerűsíteni kell a használhatóság érdekében, de mindig ki kell aknázni az összes lehetőséget a hálózat és a felhasználók biztonságának megőrzésére.

Használjon intelligens szoftvert

A legkifinomultabb biztonsági mentési termékek nem csupán tárolóeszközök, hanem egyben intelligens rendszerek is, amelyek új módszereket kínálnak annak észlelésére, hogy valami nincs rendben. Például gyakran tömörítik vagy lemásolják a biztonsági mentésben szereplő adatokat. Ha az adatok titkosítva vannak, akkor azokat nem lehet tömöríteni vagy deduplikálni, és ez a biztonsági másolat eredményeiben nyilvánvalóvá válik. Egy intelligens szervermegfigyelő szoftver ezt képes észlelni.

A csúcskategóriás biztonsági mentési eszközöknek vannak más fejlett képességei is, amelyek akadályozzák a ransomware támadók munkáját. Egyesek képesek a mentési adatokat megváltoztathatatlanná tenni, azaz azok nem törölhetők vagy módosíthatók, legalábbis addig, amíg a házirendben meghatározott feltételek (például egy bizonyos dátum elmúlása) nem teljesülnek. Néhány eszköz képes leválasztani a tényleges tároló interfészt a vezérlőben egy magán interfésszel.

Általánosan érvényesnek mondható szabály, hogy a zsarolóvírus támadások tömeges támadások, amelyek általános és viszonylag egyszerűen megvalósított rendszereket céloznak meg. Kifinomultan kidolgozott, szigorú adminisztrációval rendelkező rendszerek kevésbé vonzó célpontok a zsarolóvírussal támadók számára.

Gondolkodjon átfogóan, rendszerszemlélettel

A biztonsági mentések védelme csak az egyik módja annak, hogy megtervezzék egy ransomware-katasztrófa megelőzését. Nyilvánvalóan az, ha létezik egy jó terv és annak megoldása is a biztonsági másolatok védelmére, még nem indokolja a többi védőintézkedés enyhítését. Az a legjobb, ha a támadók nem képesek átjutni a határvédelmen, nem tudnak hitelesítő adatokat lopni, és nem képesek rosszindulatú programokat sem futtatni a rendszerein.

Viszont, ha nem sikerül megakadályoznia a támadót a rendszereibe történő belépésben, akkor nem tudja megakadályozni azt sem, hogy titkosítsa az ön adatait, továbbá nem akadályozhatja meg azt sem, hogy a támadók megsemmisítsék a biztonsági másolatait ‒ ez pedig annyit jelent, hogy a védelmi rendszere kudarcot vallott. Megfelelő felkészüléssel, naprakész ismeretekkel és erőforrásokkal sikerrel járhat.

A biztonsági mentések védelme a zsarolóvírus támadások ellen: Javaslatok a vezetők számára

‒ Hozzon létre egy erős biztonsági mentési tervet, a 3-2-1 szabályt követve.
‒ A felhőalapú biztonsági mentésekhez külön hitelesítő adatokat használjon.
‒ Intelligens, modern termékeket alkalmazzon az alapos és biztonságos biztonsági mentési terv megvalósítása során.
‒ Fontolja meg, hogy a biztonsági másolatok készítését olyan protokoll használatával végezze, amelyhez a rosszindulatú programok nem férnek hozzá.

(készült a hpe.com cikkei alapján)