Ransomware... ograniczenie infekcji w sieci


(remik307) #1

W ostatnich dniach dużo się pisze o WannaCry. Podkreśla się, że powinno się wprowadzić politykę IT, która pozwoli ograniczyć infekcje innych zasobów w sieci. Co to dokładnie oznacza? Na czym powinna polegać taka polityka?

Rozumiem, że priorytetem jest backup oraz aktualizacja komputerów… ale co ponadto? Zwykłe programy firewall nie radzą sobie z zagrożeniem. Dodatkowy, sprzętowy firewall / UTM, który będzie wychwytywał podejrzany ruch w sieci i odcinał zainfekowany komputer? Zdecydowana większość małych firm może mieć problem z kosztem takiego urządzenia.
W małej firmie, gdzie jest kilka komputerów, można zazwyczaj spotkać zwykły router. Często otrzymany od dostawcy internetu. Na tym kończy się infrastruktura informatyczna w takiej firmie. Czy można wdrożyć jakieś dodatkowe rozwiązanie, które będzie w stanie zablokować rozprzestrzenianie się wirusa?

R.


(bachus) #2

Firewall sprzętowy nie ma tu nic do rzeczy - ataków od zewnątrz możesz obawiać się w niewielkim procencie, jak nie wystawiasz usług “na zewnątrz”.

  • kopia bezpieczeństwa - bezwzlędnie, najlepiej rano wieczorem i jak masz zasoby - w ciągu dnia (im częściej tym lepiej); ogólnie centralizacja danych, żeby nie było, gdy utraci się dane z danej stacji roboczej,
  • polityka backupów (wynoszenie / odłączanie od sieci) - od dysków USB po taśmy, czy backup w chmurę; sprawdzanie, czy działają pliki i czy wiesz co zrobić po ataku robaka,
  • edukacja użytkowników - podstawa. Trzy razy myśleć, zanim otworzy się jakiś plik z załącznika (faktury, zipy itd.),
  • dobry program antywirusowy na stacjach roboczych,
  • na soft do analizy anomalii w sieci / na serwerze, odcianie użytkowników itd. - raczej nie będzie stać małej firmy.

Podsumowując wg. mnie kolejność: BACKUP, EDUKACJA, dodatkowe środki (AV). Szkoda, że nie napisałeś gdzie są przechowywane pliki w firmie i jakie macie stacje robocze.


(eskimosek) #3

Kup sobie jakiegos Zyxela do firmy
https://www.zyxel.com/pl/pl/homepage.shtml

i tam masz porady
http://www.zyxel.com/support/announcement_ransomware.shtml

Routery tej firmy sa naprawde dobre.
http://allegro.pl/zyxel-zywall-usg40w-lic-bundle-1y-idp-av-as-cf-i6802828168.html

mam podobny tylko bez WiFi


(remik307) #4

Pytałem się nie tyle w kontekście mojego miejsca pracy, ale tak ogólnie :slight_smile: Z ciekawości jak to wszystko powinno wyglądać.

No dobra - backup jest, edukacja użytkowników jest, program antywirusowa jest… ale i tak w wielu przypadkach może to nic nie dać. Dochodzi do infekcji - dane zostają zaszyfrowane. W drastycznym przypadku szkodnik przez sieć firmową zaraża pozostałe komputery. I w przypadku większości małych firm pozostaje tylko odzyskiwanie danych z backupu? Wykluczając oczywiście zapłacenie okupu.
Kiepska sprawa :confused:

No dobra, załóżmy teraz, że firma dysponuje finansami i chciałaby wyposażyć się w soft, o którym wspomniałeś. Jakie oprogramowanie możesz doradzić, tak żeby nie dostać zawału po usłyszeniu ceny :slight_smile:
Czy oprócz softu, do analizy anomalii w sieci można wykorzystać urządzenia UTM? Czy tutaj również możesz coś doradzić za rozsądną kwotę.

EDIT:
eskimosek dziękuję za link do routera. Chętnie o nim poczytam :slight_smile:


(sadaj72) #5

No dobra - backup jest, edukacja użytkowników jest, program antywirusowa jest… ale i tak w wielu przypadkach może to nic nie dać. Dochodzi do infekcji - dane zostają zaszyfrowane. W drastycznym przypadku szkodnik przez sieć firmową zaraża pozostałe komputery. I w przypadku większości małych firm pozostaje tylko odzyskiwanie danych z backupu? Wykluczając oczywiście zapłacenie okupu.
Kiepska sprawa :confused:

Edukacja jest?
To powinno drastycznie ograniczyć ryzyko infekcji, nikt normalny nie otwiera faktur czy muzyki w formacie exe.

Backup jest?
Odzyskujesz wszystko w maks kilka godzin.

Jeżeli nie klikasz w co popadnie, nie wkładasz do pc pendriveów z nieznanego źródła, nie uruchamiasz programów z nieznanych źródeł, to ryzyko infekcji jest bardzo małe.

Pytałem się nie tyle w kontekście mojego miejsca pracy, ale tak ogólnie

Tak ogólnie sophos utm do wykorzystania w sieci domowej jest za darmo


(bachus) #6

W żaden sposób nie chroni przy zamkniętych usługach od zewnątrz. Ataki takie są od wewnątrz po ominięciu FW. Dobra inspekcja przychodzącego ruchu na tej warstwie kosztuje tysiące dolarów.


(eskimosek) #7

Chodzi po prostu o to ze ten firewall filtruje ruch i widzi co jest ransomware czy inne a co nie i blokuje to.Zamkniete uslugi sa zbedne w przypadku korzystania z tego Zyxela.

Przykladowo wchodzisz na jakas stronke gdzie javascript daje download tego ransomware,wtedy w momencie wykrycia w IDP ten ZYxel blokuje i nie wpuszcza do wewnatrz sieci.Czyli nie trafia ten wirus na docelowe komputery,czyli te komputery sa bezpieczne.Proste? proste.

Ataki takie są od wewnątrz po ominięciu FW

wszystko co trafia na docelowy komputer musi przejsc przez FW,poniewaz przez FW idzie polaczenie sieciowe.


(bachus) #8

Taka zabawka jak Twoja (też mam podobny model, tylko wyższy) nie poradzi sobie z ruchem szyfrowanym, na którym opiera się obecny internet. Może złapać coś ze strony internetowej, ale to nie jest obecnie głównym wektorem ataku.


(januszek) #9

Po za tym co roku musisz wybulić kilkaset złotych na odnowienie licencji…


(eskimosek) #10

No jasne ze jak ktos bedzie korzystal z sieci przez VPN to trudno zeby ten router jeszcze deszyfrowal ruch w czasie rzeczywistym.Do tego to jakis superkomputer potrzeba.Tylko napisalem ze jak sie spytal czy jest jeszcze mozliwosc zwiekszenia bezpieczenstwa w sieci firmowej to napisalem ze jest.


(bachus) #11

Ja nadal nie wiem o jakiej firmie mówimy - ile dziesiątek, czy tysięcy osób :wink: Jak to wygląda na poważnie na przykładzie środowisk, gdzie stacje są oparte na wyżej wymienionym Windowsie…

Po pierwsze - pełna centralizacja danych firmowych (tj. pliki, bazy itd.). Stacja robocza nie ma prawa przechowywać istotnych danych - ot, jak padnie dysk, czy coś się stanie z komputerem - wymieniasz na nowy/przeinstalowujesz i koniec. W nawet małej firmie z serwerem Windowsowym (czy innym…) od prostego udostępniania katalogów z serwera (centralizacja danych) po wymagające chwilkę wyklikania profile wędrujące itd. (osoba siada na komputerze obok i po 2 minutach pracuje na swoich danych mając nawet te same ikony na desktopie i zakładki “ulubionych” w przeglądarce).
Jak pojawiają się pieniądze - serwery są sklastrowane na poziomie systemu operacyjnego (DFS itd.), lub wirtualizacji (HA i podobne tematy). To nie chroni oczywiście po ataku tego szkodnika - dane zostaną zaszyfrowane wszędzie :wink:
Backup - na NAS (zasoby sieciowe), replikacja na dyski USB, taśmy, czy między lokalizacjami. Polityka backupów, żeby np. nie został zaszyfrowany także backup.

Wykrywanie zagrożeń - ogólnie od paru lat najnowsze trendy mówią: skupiaj się na AV, ale bardziej na wykryciu ataku/anomali. Jak ma dojść do ataku/ktoś sobie upatrzył - i tak dojdzie, nalezy jednak o nim wiedzieć. Co do sprzętu: prosty FW z wykrywaniem wirusów raczej nie wystarcza. Złapie on podstawowe rzeczy, czy pozwoli blokować określone strony. Jak są pieniądze - inwestuje się w sprzęt o sporej mocy olibczeniowej (dedykowane procesory do tego celu). W pewnym sensie spoofuje się ruch https (szyfrowany), podmienia certyfikaty itd. w celu zajrzenia “do środka”. Są różne rozwiązania, które pozwalają np. postawić farmę zwirtualizowanych serwerów z systemai operarcyjnymi (Windows XP-10, Linux) i np. jak przychodzi mail z załącznikiem/XLS z makrem, taki załącznik jest odpalany na wirtualnej maszynie, emulowana jest aktywność użytkownika, emulowany jest upływ czasu (zegar systemowy do przodu i i inne sztuczki), emulowany jest dostęp do piaskownicy z udostępnionymi plikami - bada się zachowanie takiego załącznika. Ogólnie czy to nie jest coś nowego, nieznanego programom AV). Jak wszystko w teorii ok- dopiero wypuszczane do użytkownika.
Są też wykorzystywane programy do analizy zachowania danej stacji roboczej - jak np. system wykryje, że ktoś w ciągu 10 sekund zmienił 100 plikom nazwę z roczny_raport.xls na roczny_raport.wannacry1, albo że coś dziwnego robi (pojawiają się kopie tego pliku zaszyfrowane), to następuje komunikacja z zarządzalnym switchem i komputer zostaje odcięty fizycznie (wyłączenie portu na switchu).
Ogólnie wg. mojego doświadczenia - podstawa to wykrycie ataku i wiedza jak się zachować w danej chwili (procedury DR).

Wszystko zależy od potrzeb, ale nie podałeś założeń wielkości firmy - to jakbyś pytał o zabezpieczenie transportu do firmy i bym nie wiedział, czy codziennie rano dowozisz jabłka ze strangu do sklepu, czy jesteś właścicielem Biedronek w PL :slight_smile:


(bachus) #12

W tym właśnie rzecz - główny wektor ataku leci od środka (najczęściej załączniki do maila). Nikt przecież specjalnie nie wystawia portów powiązanych z SMB na zewnątrz, trzeba by było robić to z palca w jakimś celu (otwarcie portów, przekierowanie w NAT, otwarcie portów na FW). FW nie ma tu więc za dużo do roboty.


(eskimosek) #13

Ale zwroc uwage ze jak NIE korzystasz z VPN to FW widzi caly ruch i aplikacja ktora chce pobrac wirusa musi to zrobic przez polaczenie sieciowe ktorym zarzadza FW.I jesli wykryje podejrzany ruch lub wirusy to je zwyczajnie zablokuje.Jasne jak przez ruch szyfrowany to trudno zeby taki routerek sobie z tym poradzil.


(bachus) #14

Może na przykładzie - czy Twój FW i wbudowany w USG40 IDS i AV widzi to co piszemy teraz na forum, oraz jakby był załącznik do wiadomości, to czy może go odrzucić?


#15

Podejrzewam, że bachusowi chodzi o to, że np. klient poczty pobiera maile połączeniem szyfrowanym - jak niby FW ma to wyłapać, skoro nie wie co jest w środku?..


(eskimosek) #16

Chodzi po prostu o to jaki idzie polaczenie sieciowe a idzie tak

serwer -> ISP -> router klienta -> klient

i jak router klienta ma dobrego firewalla na routerze to idzie tak

plik:
serwer -> ISP -> router clear traffic -> klient

serwer -> ISP -> router bad bad bad traffic -> /dev/null


(bachus) #17

No to jeszcze raz - jak przechodzi przez Twój “router clear traffic”, to widzi to co napisałeś na forum, czy na innym szyfrowanym ruchu na którym opiera się obecny inernet. Już nawet wykop.pl ma https :wink:


(eskimosek) #18

No trudno zeby takie male pudeleczko jak router chronil przed zaszyfrowanym ruchem z wirusami,chyba ktos kto na to liczy nie spal przez tydzien albo wypil 2 litry wodki.Tylko moze wspomagac.Jak jakas strona ma https tzn ze ma certyfikaty bezpieczenstwa i raczej trudno o jakiegos wirusa zlapac z takiej strony.


#19

Czyli odpada praktycznie cały ruch mailowy - a to w nim jest większość ransomware jako załączniki, do tego odpada sporo ruchu https, a tym samym wychodzi na to, że skrzyneczka z Zyxela, którą polecasz to tylko “chłyt marketingowy”…


(eskimosek) #20

Odnosniki w meilach ktore sie otwiera na strony raczej jesli sa zainfekowane jakims shitem to nie beda mialy te strony szyfrowania ssl i tym samym router to wylapie.