Seharusnya ada kutipan usang dari Nietzsche tentang kekuatan, tapi kami tidak menulisnya.
Suatu hari ini dapat terjadi pada setiap administrator sistem - dia datang untuk bekerja di pagi hari, memeriksa infrastruktur dan menemukan bahwa di server file, alih-alih data pengguna, ada arsip dan file teks yang meminta tebusan. Apa yang harus dilakukan, bagaimana cara hidup dan bagaimana mencegah kekambuhan, kami memahami artikel ini.
Kasus yang terjadi pada infrastruktur perusahaan yang dibangun pada PC Windows dipertimbangkan. Jadi, pahlawan kami menemukan di pagi hari bahwa di file server, bukan file pengguna, arsip data.zip dan readme.txt. Arsip tersebut dilindungi kata sandi, dan buku teks memiliki persyaratan standar untuk mentransfer sejumlah besar uang ke dompet bitcoin, mengirim konfirmasi transfer ke surat yang ditentukan dan menerima kata sandi sebagai tanggapan. Seperti yang diwariskan nenek moyang kita kepada kita, mereka tidak melakukan negosiasi dengan teroris, tetapi waktu berlalu, dan datanya harus dipulihkan.
Ketika situasi tersebut terjadi, kumpulan tugas bangkit:
- Pulihkan data
- Tetapkan rute peretasan
- Mencegah kekambuhan
Dengan pemulihan data, semuanya sederhana - salinan malam adalah segalanya bagi kami. Untuk berjaga-jaga, kami menggunakan utilitas untuk memulihkan file yang dihapus, tetapi sia-sia, Penghapus jelas bekerja pada disk. Jadi kami mulai meluncurkan salinan cadangan dan melanjutkan ke poin tentang membuat rute peretasan.
Kami mulai dengan memeriksa "bukti". Tanggal pembuatan file kurang lebih sama dan sebagai pembuatnya - administrator lokal, tidak ada lagi yang menarik. Mari beralih ke sistem operasi. Selain administrator, pengguna memiliki pengguna Kelly yang tidak dapat dipahami dengan hak administratif. Sudah lebih menarik! Kami melihat lebih jauh. Pengaturan jaringan yang diubah - Alamat Google ditentukan sebagai DNS. Ini semua baik dan bagus, tetapi file server tidak memiliki koneksi Internet langsung, jadi tidak jelas bagaimana penyerang mendapatkannya. Ya, Anda dapat mengakses server melalui RDP, tetapi RDP ini tidak terlihat ke luar. Kami sedang mencari lebih jauh.
Perusahaan memiliki server terminal untuk karyawan yang bekerja dari jarak jauh. Kami memeriksanya. Ada banyak proses masuk brute force di log keamanan, tetapi tidak ada yang lebih mencurigakan. Tidak ada pengguna yang tidak perlu dalam sistem, pengaturan belum diubah, semuanya bersih.
Karena kita berbicara tentang karyawan jarak jauh, kami meningkatkan daftar karyawan tersebut dan melihat bagaimana tempat kerja mereka diatur. Beberapa dari mereka bekerja di server terminal yang sudah diperiksa, dan beberapa di PC mereka. Dan di sini titik masuknya ditemukan. Di PC salah satu perancang ada pengguna lokal Kelly dengan hak administratif dan di folder unduhannya ada kit distribusi WinRar yang dengannya data diarsipkan dan ada Penghapus untuk dihapus. Oke, kami menemukan intinya, tapi bagaimana Anda bisa naik mobil dan bagaimana Anda mendapatkan server file?
Pemeriksaan mendetail dari mesin perancang mengungkapkan bahwa otentikasi tingkat jaringan tidak diaktifkan dalam pengaturan akses jarak jauh dan, sebagai tambahan, pembaruan belum diinstal pada sistem operasi untuk waktu yang lama. Jadi, mungkin, vektor serangannya adalah sebagai berikut: pindai port di belakang tempat akses RDP digantung dan selidiki kerentanannya pada tingkat verifikasi pengguna. Kemudian, dengan menggunakan kerentanan dalam sistem, jalankan kode yang memulai pengguna Kelly dan masuk ke PC. Setelah itu, pengarsipan dilemparkan ke PC, Penghapus - dan terserah untuk meneliti infrastruktur dan melakukan tindakan jahat. Perlu dicatat di sini bahwa dalam kasus khusus ini perusahaan turun dengan murah - karyawan masuk hanya untuk saat memulihkan file dari salinan cadangan dan hanya itu. Nah, administrator, tentu saja, termasuk dalam distribusi karena kelalaian.Tetapi penyerang dapat melangkah lebih jauh - database atau dokumen dengan data tidak dapat dienkripsi, tetapi dipindahkan dari jangkauan. Dan akhirnya, backup itu sendiri - ada baiknya mereka tidak mendapatkannya.
Sekarang yang paling penting adalah bagaimana tidak menjadi pahlawan artikel seperti itu. Di sini, sebenarnya, semuanya sederhana: yang utama adalah kewaspadaan. Periksa diri Anda dengan daftar periksa:
- Semua sistem operasi memiliki semua pembaruan terkini
- Kontrol semua titik masuk ke infrastruktur
- Jangan gunakan kata sandi sederhana
- Untuk otentikasi kata sandi, terapkan kebijakan untuk hanya menggunakan kata sandi yang aman
- Perluas masuk dengan sertifikat jika memungkinkan
- Ubah nama akun administratif jika memungkinkan
- Gunakan prinsip hak istimewa terendah
- Firewall internal
- Antivirus perusahaan
- Salinan data offline
- Pantau peningkatan perhatian pada perimeter Anda dan bereaksi
Apa yang dimaksud dengan rekomendasi tersebut.
Pembaruan pada sistem operasi tidak hanya menambah fungsionalitas, tetapi juga menutup kerentanan yang dapat dimanfaatkan oleh penyerang. Penting untuk dipahami bahwa Anda tidak hanya memperbarui sistem operasi, tetapi juga semua perangkat lunak yang digunakan di tempat kerja.
Dengan mengontrol titik keluar ke luar, yang kami maksud adalah Anda selalu perlu mengetahui siapa, untuk alasan apa, dan bagaimana cara masuk ke jaringan perusahaan dari dalam. Seharusnya tidak ada situasi ketika RDP menonjol dari mesin akuntan pada port standar.
Ratusan dan ribuan artikel, posting, dan catatan telah ditulis tentang perlunya menggunakan kata sandi yang aman. Tetapi orang-orang dibagi menjadi mereka yang kata sandinya diambil dan mereka yang mengubahnya menjadi yang lebih aman. Katakanlah lagi - panjangnya dari delapan karakter, penggunaan wajib huruf besar dan kecil, angka, dan karakter khusus. Idealnya, gunakan generator, yang jumlahnya banyak, baik di jaringan maupun di dalam pengelola kata sandi terdekat.
Dan karena kita berbicara tentang kata sandi yang aman, kebijakannya tidak harus berupa nasihat, tetapi wajib. Kebijakan Grup Direktori Aktif memungkinkan skrip untuk memaksa pengguna mengubah sandi mereka pada interval tertentu. Selain itu, kebijakan ditetapkan untuk panjang kata sandi minimum dan jumlah kata sandi yang digunakan sehingga pengguna tidak menggunakan dua kata sandi yang aman bagi kebijakan, cukup dengan mengubahnya saat sudah tidak berlaku lagi.
Kata sandi yang kuat itu bagus, tentu saja, tetapi bahkan lebih baik - akses sertifikat. Ya, ini lebih sulit untuk diterapkan, tidak nyaman di beberapa tempat, tetapi aman. Coba pikirkan, mungkin biaya penerapan infrastruktur PKI akan lebih rendah daripada biaya pemulihan data yang hilang dalam serangan peretas.
Mengganti nama catatan administratif membantu melawan serangan kamus pada akun seperti Administrator, Admin, Administrator, dan Admin, yang ada dalam sistem secara default dan jarang diblokir. Mengganti nama akun administratif menjadi serangkaian huruf dan angka secara acak akan mencegah serangan semacam itu. Tentu saja, langkah ini memerlukan pengenalan, jika bukan pengelola kata sandi global, setidaknya registri kata sandi.
Prinsip hak istimewa terendah mengajarkan kita untuk tidak memberikan hak yang tidak perlu untuk melakukan tugas yang diberikan. Sebuah layanan yang, misalnya, membersihkan profil pengguna dari file-file sementara, sebenarnya tidak memerlukan hak administratif ke server file; hanya perlu hak untuk menghapus file di penyimpanan profil. Apalagi itu untuk penghapusan. Anda juga tidak memerlukan izin untuk mengubah file. Ini akan menyelamatkan Anda dari masalah yang muncul jika kredensial disusupi, kedua akun layanan, dan umumnya mengurangi bagian depan serangan pada infrastruktur Anda.
Prinsip hak istimewa paling rendah juga cocok dengan keberadaan firewall yang diaktifkan pada mesin dan server pengguna. Kami meninggalkan hanya yang diperlukan, dan mematikan atau melarang sisanya. Jika memungkinkan, kami tidak menanggapi koneksi masuk. Tidak lebih dari motto Anda.
Gunakan antivirus. Ya, pengguna dan administrator sistem selalu mengeluh bahwa antivirus mengganggu pekerjaan mereka, memperlambat kinerja, dan ini merupakan pemborosan ekstra dari uang perusahaan dan daya komputasi komputer. Tetapi kekurangan antivirus cepat atau lambat akan memainkan perannya dan suatu hari pengguna akan meluncurkan file dari surat tersebut dan mendekripsi file akan jauh lebih mahal daripada lisensi perusahaan untuk kompleks antivirus.
Telah disebutkan di atas bahwa ada baiknya kita tidak mencadangkannya sendiri. Anda harus selalu memiliki salinan yang dikeluarkan dari infrastruktur dan akses ke salinan tersebut harus dibatasi semaksimal mungkin. Memang mahal untuk memperbarui salinan seperti itu, tetapi pengguna akan lebih senang dengan file yang bahkan berumur tiga bulanan daripada kehilangan data secara lengkap.
Dan terakhir, baca log akses - di dalamnya berisi banyak hal menarik. Menerapkan sistem pencegahan intrusi yang lengkap itu mahal, tetapi Anda dapat melakukan banyak hal dengan tangan Anda sendiri. Analisis alamat asal scan port atau brute-force kredensial. Periksa mesin dan server pengguna secara teratur untuk mencari malware.
Tentu saja, bahkan kepatuhan penuh terhadap rekomendasi ini tidak akan memberi Anda jaminan 100% terhadap peretasan, tetapi setidaknya mereka akan mengurangi persentase risiko. Dan jangan lupa tentang melatih karyawan Anda, karena bahkan sistem yang paling aman pun tidak berdaya dengan kurangnya pemahaman sama sekali tentang konsekuensi dari tindakan tertentu. Jika seorang karyawan memasuki akunnya dengan formulir phishing, maka tidak peduli seberapa aman sistemnya, maka karyawan tersebut telah disusupi. Jika akses berasal dari mesin yang terinfeksi, maka Anda sendiri meluncurkan malware ke jaringan Anda. Selalu berhati-hati, pengabaian keselamatan dapat menyebabkan kerugian yang signifikan tidak hanya bagi karyawan, tetapi juga bagi perusahaan secara keseluruhan.
Sekarang sedikit tentang mengapa hal ini tidak dilakukan dalam kasus ini. Di sini, juga, semuanya sederhana, seperti pensil TM - tempat kerja perancang digunakan menggunakan perakitan bajakan. Tolong jangan membuat kesalahan fatal seperti itu. Pertama, ini ilegal, dan kedua, Anda membuang lebih banyak sumber daya saat Anda membersihkan konsekuensi dari kelalaian tersebut terhadap infrastruktur TI Anda. Jaga diri Anda dan data Anda. Dan jika Anda memiliki sesuatu untuk ditambahkan di daftar periksa atau pada situasi secara keseluruhan, maka Anda dipersilakan di komentar.
Periklanan
Perusahaan kami menawarkan server aman dengan perlindungan DDoS gratis. Kemampuan untuk menggunakan Server Windows berlisensi pada paket dengan RAM 2 GB atau lebih tinggi, membuat cadangan server secara otomatis atau dalam satu klik.
Kami menggunakan drive server yang sangat cepat dari Intel dan tidak menghemat perangkat keras - hanya peralatan bermerek dan beberapa pusat data terbaik di Rusia dan UE. Cepat periksa.
