Изображение: recraft
Программы-вымогатели
Согласно аналитическим отчетам ведущих компаний в области кибербезопасности, программы-вымогатели несколько лет подряд остаются одними из наиболее опасных и распространенных угроз для организаций России и стран СНГ. Эти угрозы стабильно занимают лидирующие позиции в региональных и глобальных ландшафтах киберрисков.
Программа-вымогатель — это разновидность вредоносного программного обеспечения, которое блокирует доступ пользователя к инфицированной системе. Это достигается либо полным блокированием рабочего стола, либо шифрованием важных файлов. До момента выплаты выкупа жертва лишается возможности пользоваться своими данными. Сегодня большинство атак совершаются с использованием шифровальщиков — вирусов, которые зашифровывают файлы пользователей и требуют деньги за ключ-декриптор.
Последствия успешной атаки программы-вымогателя могут привести к полной остановке деятельности организации. Особенно опасно, если речь идет о критической инфраструктуре — тогда последствия способны угрожать безопасности государства и жизням граждан.
Однако хорошие новости заключаются в том, что существует ряд мер для эффективной профилактики подобных атак. В данной статье мы подробно обсудим методы защиты корпоративных файловых хранилищ.
Файловые хранилища являются главной целью злоумышленников, так как содержат большие объемы ценных данных, включая критически важные сведения. Помимо этого, такие ресурсы нередко становятся инструментами для дальнейшего распространения инфекции внутри корпоративной сети. Хакеры активно уничтожают резервные копии, размещенные на серверах, связанных с внутренней сетью предприятия, чтобы повысить вероятность успеха шантажа. Таким образом, эффективная защита файловых хранилищ решает сразу две ключевые задачи:
- предотвращает массовое шифрование централизованных данных;
- препятствует распространению вредоносного ПО по сети через общие сетевые папки.
Меры по защите файловых хранилищ
Методы защиты зависят от типа используемого хранилища. Для локальных хранилищ компьютеров сотрудников и сетевых каталогов применяются стандартные меры информационной безопасности корпоративной сети:
1. Защита конечных точек
Используйте специализированные средства защиты информации (СЗИ) и антивирусные программы. Особое внимание уделяйте уведомлениям о выявленных угрозах. Полезно применять EDR-агенты для детектирования аномальной активности, однако важно наличие квалифицированных специалистов для анализа предупреждений и своевременного реагирования.
2. Своевременное обновление ПО
Регулярно устанавливайте обновления и исправления безопасности для операционной системы и приложений. Многие инциденты происходят вследствие эксплойта давно известных уязвимостей.
3. Принцип наименьших привилегий
Ограничивайте права пользователей и исключайте создание учетных записей с административными полномочиями. Во внутренней инфраструктуре роль Enterprise Admins должна оставаться пустой.
4. Минимизация прав доступа к общим ресурсам
Применяйте ограничения прав доступа к общедоступным папкам.
5. Мониторинг групп безопасности
Постоянно проверяйте изменения в группах безопасности Active Directory.
6. Многофакторная аутентификация
Настройте обязательное подтверждение входа дополнительными факторами.
7. Политика регулярного изменения паролей
Установите периодичность обязательной смены паролей.
8. Запрет слабых паролей
Запрещено использовать слабые и предсказуемые пароли пользователями и службами.
9. Автоматическое управление паролями
Внедрите LAPS (Windows Local Administrator Password Solution) для автоматизации процесса управления паролями локальных администраторов.
10. Изменение служебных паролей
Периодически меняйте пароль учётной записи krbtgt (по умолчанию — ежегодно).
11. Многоуровневая модель контроля доступа
Создайте иерархичную структуру разделения доступа между контроллерами доменов, серверами и рабочими станциями.
12. Резервирование данных
Регулярное создание резервных копий согласно правилу 3-2-1: минимум три копии, хранящиеся на разных устройствах, одна копия вне инфраструктуры.
13. Создание теневых копий
Включите технологию Volume Shadow Copy Service (VSS) для быстрого восстановления файлов после заражения шифровальщиками.
14. Предотвращение запуска нежелательных программ
Рассмотрите внедрение политики блокировки запускаемых приложений, используя технологии WDAC, AppLocker или SRP.
15. Правильная настройка устройств
Проверьте, что отключены неиспользуемые сервисы и порты, такие как RDP (порт 3389).
16. Использование современного протокола SMB
Откажитесь от старых версий протокола SMB (v1 и v2), используемых злоумышленниками для горизонтального распространения вредоносного ПО.
17. Заблокируйте внешние подключения SMB
Закройте доступ извне по TCP-порту 445 и 139, а также UDP-порту 137-138.
18. Изоляция файловых серверов
Выделите файловые серверы в отдельную виртуальную сеть (VLAN) и запретите прямой доступ к ним из интернета.
19. Настройка File Server Resource Manager (FSRM)
Используйте FSRM для обнаружения и блокировки попыток создания необычных типов файлов, характерных для действий шифровальщиков.
Если резервная копия хранится в облаке
Операторам программ-вымогателей часто удается атаковать облачные хранилища благодаря возможностям синхронизации с локальными устройствами. Такие сервисы, как Dropbox, OneDrive и другие, автоматически синхронизируют любые внесённые изменения. Поэтому, если вирус-шифровальщик заразил компьютер и зашифровал файлы, эта модификация мгновенно переносится в облако, где оригинальные файлы заменяются зашифрованными копиями.
Поможет ли решить проблему механизм версионирования (хранение предыдущих версий файлов)?
Да, такой механизм полезен, потому что после шифрования в облаке останется старая незашифрованная версия файла. Однако тут есть два нюанса:
- Версионирование включено далеко не всеми поставщиками облаков по умолчанию.
- Некоторые поставщики сохраняют старые версии файлов лишь ограниченный срок.
Помимо версионирования рекомендуем дополнительно:
- Настроить многофакторную аутентификацию (MFA) для всех аккаунтов, имеющих доступ к облачным данным.
- Включить неизменяемые резервные копии (Immutable Backups). Такая копия защищена от удаления или модификации даже при компрометации аккаунта.
- Ограничить автоматическую синхронизацию, особенно если это касается конфиденциальных данных.
- Активировать ведение журнала событий. Обратите особое внимание на регистрацию подозрительных операций, таких как многократные неудачные входы или запросы доступа к важным файлам.
- Создать подробный перечень облачных ресурсов: определите расположение критичных данных и порядок взаимодействия различных сервисов.
Документируйте доступы и зависимости: чётко обозначьте права доступа ко всем вашим облачным активам.
Помните, недостаточно защищать только отдельные компоненты инфраструктуры, такие как файловые хранилища. Современные вирусы-вымогатели действуют поэтапно: начав атаку с незначительной точки проникновения, злоумышленник постепенно углубляется внутрь сети, добираясь до критических объектов.
Если атака произошла, не торопитесь выплачивать выкуп:
- Нет никаких гарантий, что полученный дешифратор окажется рабочим.
- Злоумышленники могут продолжить требовать дополнительные платежи даже после первой оплаты.
- Любая оплата поддерживает криминальный бизнес и стимулирует проведение новых атак.
Лучше инвестируйте в надёжную защиту ваших данных, чем платите преступникам.
Автор: Виктория Баранова, эксперт по кибербезопасности Angara Security.
Оригинал публикации на сайте CISOCLUB: "Как обезопасить файловое хранилище от шифровальщиков: превентивные меры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.