Перейти к содержанию

И целого бэкапа мало


Рекомендуемые сообщения

Слово «шифровальщик» (а также ransomware, вымогатель и другие подобные слова), кажется, выучили уже даже малые дети – его каждую неделю по нескольку раз повторяют все компании, занимающиеся безопасностью, газеты, журналы и прочие медиа. Годом шифровальщиков было называли 2016-й, потом оказалось, что 2017-й оказался в этом плане еще ярче. В 2018-м и 2019-м вроде стало поспокойнее, но наступил 2020-й – и про вымогателей снова слышно буквально отовсюду.

У нас на корпоративном блоге про шифровальщиков написаны десятки материалов – и почти в каждом есть три универсальных совета:

  1. Используйте хорошую защиту.
  2. Не скачивайте всякие подозрительные файлы с подозрительных сайтов и не открывайте подозрительные почтовые вложения в письмах от подозрительных людей. И еще научите этому сотрудников.
  3. Делайте бэкапы.

И периодически я слышу возражения примерно следующего характера: «Это все, конечно, хорошо и правильно, но зачем мучиться с защитой и обучением сотрудников, если можно просто бэкапиться почаще?» Дескать, все равно так и так бэкапы делаем, а если пошифрует – то быстренько восстановимся, и никакие шифровальщики нам не страшны.

Но это так не работает. И вот почему.

Из бэкапа надо уметь восстанавливаться

Делать бэкапы полезно, правильно и нужно. Но пробовали ли вы восстанавливать инфраструктуру компании из резервной копии? Это может оказаться совсем не так просто, как кажется, – и чем больше машин и разнородной инфраструктуры, тем сложнее все восстановить. Опытные айтишники наверняка сталкивались с ситуациями, когда – в тот момент, когда бэкап наконец понадобился – оказывалось, что восстановить из него получается не совсем все, не совсем так, как надо, и совсем небыстро. А иногда вообще не получается.

Те, кто наступил на все грабли резервного копирования, регулярно проверяют целостность бэкапов, периодически репетируют воскрешение сервера из мёртвых на стейджинге и вообще следят за тем, чтобы восстановление не заняло слишком много времени, если вдруг что-то случится. А те, кто никогда не пытался восстанавливаться из своих бэкапов, могут смело считать, что бэкапов у них нет вообще. Слишком велик шанс, что нормально восстановиться не получится, если раньше это делать никогда не пробовали.

С восстановлением из бэкапа есть ещё другая проблема: если сервер, на котором лежит резервная копия, живет внутри периметра сети, то шифровальщик пошифрует его вместе со всеми остальными компьютерами в этой сети – и плакали планы по восстановлению.

Мораль: сегментируйте сеть, делайте бэкапы с умом, репетируйте восстановление из них почаще. Тогда есть надежда, что в случае чего получится быстро всё откатить и продолжить работать.

Восстановление – это простой. А простой – это очень много денег

Если компания большая (а это автоматически значит, что ещё и довольно разношерстная в плане используемых устройств), то быстро восстановиться, скорее всего, не получится. Даже если бэкап нормальный и даже если бросить все силы на восстановление из него – это всё равно займет довольно много времени.

А значит, на это время остановится бизнес. А стало быть, все эти недели – да, скорее недели, чем дни, – компания будет работать вхолостую. Некоторым достаточно представить себе, в какие суммы обойдется такой простóй, чтобы сразу же заплатить кибервымогателям выкуп (что делать я категорически не советую). И всё равно простоя не избежать, потому что в момент расшифровать и запустить все системы и сервисы не получится, даже если злодеи будут так любезны и предоставят дешифратор. Да и вообще велик шанс, что расшифровать не удастся ничего, ни при каких условиях.

Мораль простая: чтобы избежать вынужденного простоя из-за шифровальщиков, надо избежать заражения шифровальщиком. То есть что? Правильно: позаботиться о защите и обучении!

Современный вымогатель хуже шифровальщика

Раньше вымогатели в основном пытались атаковать конечных пользователей – и просили за расшифровку порядка 300 долларов в криптовалюте. Но с тех пор злоумышленники, которые промышляют шифрованием, выяснили, что намного интереснее атаковать организации – и выкуп можно потребовать больше, и платит бизнес охотнее. Причём на то они и злоумышленники, чтобы атаковать даже те компании, от работы которых зависят человеческие жизни, – в этом году пошифровали немало больниц, а недавно пострадала компания из цепочки поставок вакцины от коронавируса.

И ведь они не просто шифруют – они проникают в сеть, закрепляются там и воруют все данные, до которых получается дотянуться. Дальше анализируют, разбираются – и начинают шантажировать не только шифрованием, но и утечками. Дескать, не заплатите – опубликуем личные данные ваших клиентов или какие-нибудь технологические секреты. Для компании это если не смертельно, то уж точно оставит черное пятно на репутации на долгое время. К тому же после такой утечки бизнесу придется иметь весьма неприятные разговоры с регулирующими органы, отвечающими за соблюдение GDPR и других подобных законов.

И от того, что проникший в сеть злоумышленник сольёт в Интернет корпоративные секреты или личные данные пользователей, никакой бэкап не спасёт. Более того, если вы храните бэкапы в каком-нибудь месте, куда инсайдеру довольно легко пробраться – например, в облаке, – тем больше вероятность, что из этого бэкапа и украдут всё то, чем потом будут шантажировать.

Мораль: бэкапов явно недостаточно. Что делать?

Три кита безопасности

Тут мне придется повториться, потому что никаких универсальных таблеток от шифровальщиков не изобрели, и делать надо по большому счету все то же, что и раньше. Бэкапиться все равно надо — без этого, конечно, никуда. Но делать это надо правильно, с учебными тревогами и репетициями, с пониманием, как часто вы бэкапитесь и куда. Чтобы все задействованные сотрудники знали, что именно им нужно делать, чтобы побыстрее перезапустить бизнес.

Но также надо использовать подходящую защиту – и не только реактивную, но и проактивную, и вообще стараться охотиться на угрозы до того, как они успели закрепиться в сети. Не менее важно и обучать сотрудников основам безопасности – и неплохо бы еще регулярно проверять их знания. То есть все то же, что и раньше: бэкапы, защита, обучение. Какого-то одного пункта мало – нужны все, и вместе они могут претендовать на звание оптимальной стратегии по защите от вымогателей

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Игорь_RUR
      От Игорь_RUR
      Доброго дня всем. Повреждены файлы в рабочей сети, во время мониторинга сети сообщение "Активные угрозы", красный квадрат с восклицательным знаком и надпись  "HEUR:Trojan-Ransom.Win32.Convagent.gen, ниже "Объект:\\***.ru\netlogon\comet.exe" ну и ещё ниже время и дата 29.10.2023 . В результате все файлы зашифрованы и соответствующее письмо  для оплаты разблокировки. Вопрос в следующем, как на рабочем компьютере , который был радом и выключен проверить наличие следов или присутствие данного зверя? Да и вообще об этом вирусе практически нет инфы.
    • di.mailovich
      От di.mailovich
      1) На ранке есть продукты которые активно лицензируют свои "движки"для других компаний.Один Битдефендер чего стоит:на нем и Эмсисофт и Джи-Дата и огромное количество других продуктов.Ф-секуре на Авире и т.д В России Нано лицензировала движок для Гриззли хотя смешно вместе приводить такие примеры
      Касперский насколько я знаю тоже лицензировал свой движок для израильского вендора Зон Аларм.Как вы относитесь к этой практике в целом и насколько она интересна конкретно вашей компании
      2) Тенденция поглощения крупными игроками более мелких докатилась и до антивирусного рынка:например Аваст поглотил АВГ,а их в свою очередь НОРТОН.Это тревожная тенденция для вашей компании с точки зрения необходимости  конкурировать  с такими зубрами?
      Спасибо за возможность задавать вопросы.Журналисты все время спрашивают одно и тоже что и самому можно нагуглить)
    • KL FC Bot
      От KL FC Bot
      О VPN чаще всего говорят в контексте сокрытия своего местоположения или обхода искусственных ограничений. Но для бизнеса основное применение этой технологии заключается в другом — в безопасности. Сотрудники современных небольших компаний в лучшем случае работают из дома или кафе, а могут быть вообще разбросаны по разным городам, а то и странам. Предсказать, насколько безопасной будет сеть, через которую они выходят в Интернет или подключаются к корпоративным сервисам, — зачастую невозможно. А удаленно решать рабочие вопросы и обмениваться документами при этом им неизбежно приходится. Для того чтобы критически важную для бизнеса информацию не перехватили злоумышленники, разумно использовать защищенный канал связи — тот самый VPN.
      Что такое VPN?
      VPN, или Virtual Private Network, — редкий случай, когда аббревиатура весьма емко описывает суть.
      Виртуальная — для передачи данных VPN устанавливает соединение поверх существующих каналов и протоколов связи. Частная — за счет шифрования данные передаются безопасно, их нельзя извлечь, подключившись к передаче где-то в пути. Сеть — VPN обеспечивает надежную связь между собственными узлами, а выход во внешний мир осуществляет через шлюзы. Таким образом, VPN — это частная (приватная) сеть, организующаяся поверх существующей общественной сети, в первую очередь — Интернета.
      В свое время для организации VPN требовался программно-аппаратный комплекс, обеспечивающий безопасный доступ к локальной сети компании из ее филиалов и с рабочих компьютеров командированных работников. С ростом популярности облачных сервисов VPN тоже обосновалась в облаках, в процессе отчасти потеряв букву N из своего названия. Сейчас под VPN, как правило, понимают виртуальный туннель для безопасной передачи шифрованных запросов и данных между абонентским терминалом и сервером VPN-провайдера, откуда эти запросы и данные доставляются адресату. То есть служит он в первую очередь для нейтрализации угроз на участке «последней мили«.
       
      View the full article
    • ska79
      От ska79
      Интересует существует ли утилита, для просмотра бекапа созданного kaspersky plus, для ос андроид? 
       
    • website9527633
      От website9527633
      Добрый день! Наблюдается проблема при запуске задачи резервного копирования в KSC
      В задачах выходит ошибка: Database error occurred: #1950 (802) Generic db error: "802 'There is insufficient memory available in the buffer pool.{42000};' LastStatement='DBCC CHECKDB('KAV') WITH NO_INFOMSGS;'"
      Пробовал запустить и через задачу и через утилиту бэкапирования на обоих версиях KSC 13 / KSC 14
×
×
  • Создать...