Ransomware: hatékony védelmi praktikák a zsarolóvírusok ellen
Krékity Gusztáv
2021.10.22
Az elmúlt hetekben, hónapokban egy hosszabb sorozatban foglaltuk össze, milyen – sajnos folyamatosan megújuló – módon használják ki a kiberbűnözők a zsarolóvírusokban rejlő potenciált. Korábbi bejegyzéseinkből kiderült például, hogy az elmúlt évek során a ransomware variánsok funkciói kibővültek az adatok minősítésével és előszűrésével, vagy például létezik olyan verzió amely attól függetlenül törli az adatokat és fájlokat, hogy fizetett-e az áldozat vagy sem. De terítékre kerültek olyan változatok is, amelyek a felhő alapú biztonsági mentéseket zárolják, DDoS (elosztott szolgáltatásmegtagadás) támadásokhoz csatlakoznak, vagy éppen IoT eszközöket titkosítanak.
Sajnos a zsarolóvírusok rendkívül változatosak, szerteágazók és igencsak veszélyesek. Hosszasan tudnánk még sorolni a variánsokat és azok sajátosságait. Ezúttal azonban nem az újabb ransomware verziókról lesz szó, inkább szeretnénk kicsit elkanyarodni a gyakorlati megoldások felé: csokorba szedtünk néhány olyan tanácsot, amelyek segítségével jó eséllyel elkerülhető, hogy egy sikeres támadás áldozatai legyünk. S bár egy ilyen ajánlás sosem lehet teljes körű, de jól bevált gyakorlatokat tartalmaz, köztük olyan praktikákkal, amelyeket végfelhasználók és vállalatok egyaránt hasznosíthatnak, hogy képesek legyenek jelentősen lecsökkenteni annak a lehetőségét, hogy ransomware támadás áldozatai legyenek.
Általános tanácsok a zsarolóvírusok elleni védekezéshez
Mint fentebb említettük, az alapvető – és a gyakorlatban már jól bevált – kiberbiztonsági praktikákból válogattunk ezúttal, amelyeket érdemes megfontolni és betartani, mert a segítségükkel minimalizálhatjuk a károkat egy esetleges zsarolóvírus támadás során. Ezek nem cégre vagy egyénre szabott ajánlások és sajnos azt sem tudjuk megígérni, hogy százszázalékos védelmet nyújtanak a támadások ellen – ha valaki olvasta korábbi bejegyzéseinket, tudja, hogy ez utóbbi sajnos szinte lehetetlen -, viszont jelentősen csökkenthetjük velük a kockázat. Éppen ezért érdemes ezeket minden vállalatnál bevezetni és folyamatosan ellenőrizni.
- Rendszeres biztonsági mentések készítése: A létfontosságú adatokról rendszeresen készüljön biztonsági mentés. Így a támadásokban esetlegesen érintett adatok visszaállíthatók egy korábbi biztonsági mentési pontra.
Fontos, hogy a biztonsági mentéseket érdemes időről időre rendszeresen tesztelni, hogy valóban minden mentett adat teljes, visszaállítható. A sérült backup adatok ugyanis pont olyanok, mintha nem is lennének. - Rendszeres frissítések: A vállalatok egyre több gyártó megoldásait használják a rendszerben, s mint minden szoftverben, ezekben is lehetnek előre nem ismert programozási hibák, amelyeket a támadók előszeretettel kiaknáznak. Szerencsére minden vendor rendszeresen ad ki – a már ismert – hibákra, sérülékenységekre vonatkozó foltozásokat, javításokat. Ezek a frissítések olyan javítócsomagok, amelyek biztonságosabbá tudják tenni a szoftvereket az ismert fenyegetésekkel szemben. Alkalmazásuk adatvédelmi szempontból létfontosságú, így a rendszeres frissítéseket előre ütemezetten kell a változás menedzsmentbe betervezni és kijelölni a végrehajtásukért felelős személyt. A rendszeres frissítéssel csökkenthetjük a támadási felületet és a potenciális támadóvektort.
- Hitelesítő adatok lekövetése: Minden alkalmazott, aki hozzáférést kap, a céges belső rendszerekhez, potenciális biztonsági rést hozhat létre a zsarolóvírusok – vagy bármely más támadási forma – számára. Éppen ezért fontos például a rendszeres jelszó frissítési házirend és szabályozás, vagy épp a megfelelő hozzáférési korlátozások kialakítása.
Teljes felkészülés: reagálási tervek, védelmi eszközök, gyakorlati praktikák
A fenti, általánosabb javaslatokon felül érdemes még a hálózatokat és a végfelhasználókat egyaránt felkészíteni egy esetleges incidensre. Fontos előre megtervezni a reagálási terveket, hogy magabiztosan tudjuk, milyen lépéseket kell végrehajtani egy sikeres támadást követően, hogyan lehet hatékonyan minimalizálni a károkat és a lehető leggyorsabban visszaállítani a rendszer működési kapacitását. Amennyiben ezekkel nem kalkulálunk és megtörténik a baj, a károk mértéke előre felbecsülhetetlen lesz, mivel az nagyban függ a cég méretétől, profiljától és attól, hogy a támadó mihez fért hozzá, milyen adatokat tudott megszerezni, titkosítani.
Erre vonatkozólag is következzen néhány hasznos, gyakorlati tipp, amelyekkel el lehet indulni és megállapítani, hogy egy sikeres támadás után milyen lépésekre vagyunk felkészülve a helyreállítás és kivizsgálás során.
- Rendelkezzünk esemény reagálási tervekkel (Incident Response), amelyeknek tartalmaznia kell azokat az információkat és leírásokat, hogy mi a teendő, ha ransomware támadás történik.
- Használjunk fejlett végpont védelmi megoldást és SPAM szűrő biztonsági megoldásokat. A fejlett (EPP/AEP) megoldások segítségével hatékonyan védekezhetünk a zsarolóvírusok ellen, mivel a legtöbb megoldás dedikált olyan ransomware protection modullal rendelkezik, amely képes a titkosítási folyamat blokkolására, sőt, egyes eszközök a már titkosított adatok visszaállítására is képesek, adott esetben backup rendszerek nélkül is.
A SPAM szűrők szintén nagyon fontosak, hiszen a rengeteg támadás – az esetek 94%-a – levelezéssel kerül az kezdődik. Érdemes megfontolni, hogy olyan rendszert válaszunk, amely képes figyelmeztetéssel ellátni az üzenet tárgyát minden olyan esetben, amikor ismeretlen külső forrásból vagy nem megbízható címről kapunk levelet. Így a felhasználók időben figyelmeztethetők, hogy óvatosan kattintsanak levélben található a linkre vagy a csatolmányra. - Érdemes letiltani a makrók parancsfájljait. Érdemes megfontolni az Office Viewer szoftver használatát az e-mailben továbbított vagy beérkezett Microsoft Office fájlok megnyitásához a teljes csomag letöltése helyett.
- Korlátozott céges internet hozzáférés bevezetése. Ez elég szigorú megoldás, amelyet meglehetősen ritkán, inkább csak szélsőséges helyzetekben alkalmaznak, de sok nagyvállalati környezet megköveteli a magán és céges internet használat szeparációját, illetve a forgalom megfelelő szűrését. Gyakori eset, hogy a tűzfal vagy egy proxy megoldás szabályozza a veszélyes, pornográf vagy nem megbízható oldalak használatának lehetőségét.
- Többtényezős hitelesítés bevezetése (MFA) különösen az RDP szerverek felé.
- Belső hálózati szegmentáció kialakítása (ISFW) és Zero Trust architektúra alkalmazása a támadók lelassítására.
- XDR megoldások integrációjával növelhető a rendszer átláthatósága és a válaszidők jelentősen javíthatók egy támadás során, amikor minden másodperc számíthat.
- A third party megoldások fokozott ellenőrzése is fontos szempont, hiszen sok esetben olyan megoldásokról beszélünk – van ahol egyedi, saját fejlesztésről – ahol bizonytalan a javítócsomagok fejlesztése, kiadása vagy épp ellenőrzése. Ez különösen igaz azokra a megoldásokra, amelyek távoli hozzáféréssel rendelkeznek a szervezet hálózatához.
- Csatlakozzunk kiberbiztonsági információ megosztásokhoz (CTI) amelyek segítségével olyan támadásokról is tudomást és információkat szerezhetünk, amelyek nem közvetlenül bennünket érintenek. Ilyen szervezet például az MS-ISAC vagy az Infragard.
- Nagyon fontos a felhasználók oktatásának megtervezése és a biztonságtudatosság növelése. Érdemes titkos Phishing auditokkal ellenőrizni az alkalmazottak éberségét, hogy egy valós támadás során mekkora valószínűséggel és kik válhatnak potenciális áldozattá, s jelentenek így a cég számára potenciális biztonsági kockázatot. Érdemes az alkalmazottakat emlékeztetni, hogy zárolják a gépeket amikor nincsenek ott, illetve ne nyissanak meg ismeretlen forrásból származó leveleket, ne csatlakoztassanak ismeretlen meghajtókat a számítógépükhöz stb.
- Érdemes létrehozni egy olyan címet a szervezeten belül, amelyen az alkalmazottak bejelenthetik, ha gyanús tevékenységet észlelnek.
Utólagos lépések és kármentés
A fentiekkel hatékonyan védekezhetünk a ransomware támadások ellen, de mint már említettük: tökéletes védelem nincs. A kibernűzözők pénzt és időt nem kímélve dolgoznak azon, hogy fejlesszék eszközeiket a sikeres támadások érdekében. Így jogosan merül fel a kérdés: mit tehetünk, ha már megtörtént a baj? Lássuk, milyen reaktív lehetőségeket érdemes gyorsan végrehajtani.
- Érdemes azonnal felmérni a helyzetet, hogy mielőbb kiderüljön, a támadó milyen rendszereket ért el és mit tudunk az adott pillanatban a támadásról.
- Válasszuk le a fertőzött rendszert a hálózatról, hogy izolálhassuk a fertőzés további terjedésének a megakadályozására. Viszont ne kapcsoljuk ki a gépet!
- Kezdjük el beazonosítani az érintett adatokat és rendszereket. Meg kell határozni, hogy bizalmas információk is veszélybe kerültek-e vagy személyes adatokat tartalmazó fájlokhoz is hozzáfértek-e a támadók. Amennyiben igen, úgy már az IR tevekénységen felül a megfelelő szervek felé is el kell kezdeni jelentést készíteni.
- Próbáljunk meg mintavételezést végrehajtani a kompromittálódott rendszerből és próbáljuk meg kideríteni, hogy van-e elérhető dekódoló eljárás. Vannak olyan zsarolóvírusok, amelyeknek a visszaállítása is lehetséges, mert a kódban van a kulcs.
- Amennyiben a mentést nem titkosították – sajnos egyre több esetben a támadók a backup szerver titkosításával kezdenek – és rendelkezünk ellenőrzött visszaállítási ponttal, akkor töltsük vissza rendszert. Így csak az utolsó mentés és a támadás közötti adatok vesznek oda. Ezáltal minimalizálható az adatveszteség és a leállási ablak.
Összegzésül
A fenti tanácsok megfogadásával és alkalmazásával jelentősen csökkenthetjük az esélyét annak, hogy ransomware támadások áldozatai legyünk. Ha pedig mégis megtörténik a baj, ezen tippek segítségével jó esélyünk lesz a károk minimalizálására és a munkafolyamatok helyreállítására.
Záró akkordként szeretnénk mindenki figyelmébe ajánlani sorozatunk eddig megjelent cikkeit, amelyekből megismerhető a zsarolóvírusok működése, a ransomware támadások fejlődése, a kiberbűnözők támadásokhoz használt eszköztára, sőt, még a zsarolóvírusok mögött álló üzleti folyamatok is. A védekezés hatékonyabbá tételét az is nagyban elősegítheti, ha pontosan tudjuk, mivel állunk szemben. Éppen ezért érdemes elolvasni a sorozat korábbi darabjait is:
- Új üzleti modell: így lesz szolgáltatás a ransomware-ből
- Rombolásból pénzeső: így lett virágzó üzletág a ransomware
- Ransomware alapok, avagy a zsarolóvírusok térhódításának története
EMELD A TUDÁSODAT AKADÉMIAI SZINTRE, CSATLAKOZZ EXKLUZÍV KLUBUNKHOZ INGYENESEN!
Kapcsolódó bejegyzések
Az ipari biztonság jövője, avagy Zero Trust OT környezetben
Hunyadi Péter
2021.12.09
A Zero Trust megközelítés alapvető az ipari rendszerek biztonságában. Ismerje meg, hogyan csökkenthető a támadási felület OT környezetekben!
Multi Faktoros Hitelesítés és a NIS2 kapcsolata
Krékity Gusztáv
2024.09.10
A Multi Faktoros Hitelesítés (MFA) alapvető a NIS2 megfelelőséghez, erősítve a vállalati kiberbiztonságot és védelmet nyújtva a jogosulatlan hozzáférések ellen.
Végpont védelm és a NIS2 megfelelőség összefüggései
Krékity Gusztáv
2024.09.02
Az EPP, EDR és XDR végpontvédelmi rendszerek segítenek megfelelni a NIS2 irányelv követelményeinek, biztosítva a kibertámadások elleni hatékony védelmet.