SantrY Aug 13 at 12:41

Как реагировать на атаки шифровальщиков: рекомендации для CISO

Easy

12 min

4.5K

Бастион corporate blogInformation Security*Antivirus protection*IT Infrastructure*

Tutorial

+15

Comments 12

diakin Aug 13 at 14:24

А запретить левым программам пакетную обработку файлов нельзя?

xSinoptik Aug 13 at 23:15

Каждый раз, когда читаю статью про шифровальщиков об этом думаю. У них же очень специфичная работа в системе. Можно отключить возможность шифровать сразу кучу уже существующих файлы?

diakin Aug 14 at 01:16

Если уж такие строгости по безопасности, то наверное набор программ, работающих с конкретными типами файлов может быть ограничен. То есть с *.doc может работать только офис, с *.с только студия и т.д. А остальным с этими файлами работать запрещено.

SantrY Aug 15 at 10:25

Это довольно неплохой в теории способ защиты, который, к сожалению, на практике имеет пару серьезных недостатков:
1. Современные атаки вирусов-шифровальщиков происходят не в автоматизированном режиме. Атакующие могут автоматизировать часть действий, однако и ручную работу (и, что не менее важно, ручное исследование инфраструктуры) они также проводят. Запуск шифровальщика — финальный этап атаки, на момент наступления которого атакующий чаще всего имеет практически полный контроль над инфраструктурой и имеет возможность централизованно ограничивать и завершать работу различных средств защиты, в том числе и описанных вами.
2. По поводу работы только конкретных программ с конкретными файлами — по ощущениям это довольно сильно ограничивает комфорт работы пользователей. Если ваши политики безопасности позволяют это сделать — это хорошо, но на нашей практике это скорее приводит к тому, что пользователи начинают всеми силами пытаться обойти те ограничения, которые замедляют или усложняют их работу

diakin Aug 15 at 11:08

пользователи начинают всеми силами пытаться обойти те ограничения

Смысл в том, чтобы предотвратить несанкционированное, незаметное для пользователя изменение файлов. Если пользователь что-то запускает самостоятельно, то и ладно. Главное чтобы это было осознанное действие.
В принципе и UAC должно бы работать.
А так-то пользователь и сам может по злобе все зашифровать, кто ему помешает)
А если у атакующего есть полный контроль, то тогда конечно...

MesDes Aug 13 at 15:05

Хорошая статья. Теория изложена хорошо. Правильно, чем крупнее компания тем сложнее обеспечить сохранность данных. Хотелось бы примеров, что и как применяется.

SantrY Aug 13 at 15:29

Попробую уговорить Семена раскрыть подробности нескольких кейсов в следующей статье, хотя бы без упоминания заказчиков. Все эти проекты плотно обложены NDA, поэтому с раскрытием подробностей сложно.

skippy163 Aug 14 at 10:01

Хорошая статья. Но хотелось бы получить какие-то best practices по мерам защиты и недопущения шифрования файлов, средствами GPO или как-то иначе. Уверен, варианты есть и выше уже об этом начали дискутировать. Если кто-то обладает подобным опытом, поделитесь.

SantrY Aug 15 at 10:26

Как уже писал в соседней ветке, момент запуска шифровальщика — это финальный этап атаки. Так что да, в целом, есть различные подходы по предотвращению шифрования файлов (собственно, данная проблема настолько актуальна, что даже в Windows Defender есть встроенная защита от вирусов-шифровальщиков), но куда более правильно и надёжно направить усилия на обнаружение атаки на более раннем этапе и на недопущение её развития

cahbeua Aug 14 at 13:21

В описании этих идеальных условий есть одно НО - это не про работу, это про лабораторные среды обитания. У начальства всегда есть доступ ко всему, и попробуй ему этого не дать, даже под угрозой полнейшего краха. 95% компаний имеют одного админа и он выступает и службой ИБ, и почтовым специалистом, и техподдержкой на мониторинге, и даже он и есть подменный админ на случай отпуска, больничного и смерти.

По доступам в шары и к сервисам какое-то время можно протянуть, но потом всё так же ссыпается в бездну рутинных проблем - бухгалтерша приболела, плотёжку нужно провести вчера - бегом дать всем всего. ок, один раз можно запомнить что давал, а на след день обратно отобрать, но вот лето и сотрудники хороводами пошли по отпускам, раскидывая друг дружке свои доступы, много вы там запомните кому что давалось и у кого что забирать, а главное когда и в каком порядке? Ещё и с удобнейшей системой АД в винде, которая не менялась ещё с бестпрактикс конслагерей гестапо.

Держать сеть в чистоте и порядке можно пока речь идут о файловом сервре, РДП, РДГ, Домене и сервере баз данных под 1ску, но потом к этому всему начинают обрастать сервисы, боты, почты, сайты, балансиры и т.д. В общем всё звучит очень красиво пока этим всем занимается 3 отдельных отдела из 5 человек в каждом.

itshnick88 Aug 15 at 04:34

Как бы мне не хотелось, но придётся люто плюсовать вашему комментарию. Жиза

Genry79 Aug 16 at 08:14

Выключать все или нет? Если начали сыпаться сервисы однозначно Да. СРК в первую очередь. Если есть рубильник "выкл все" это плюс.

Для минимизации вреда и увеличения времени на реагирование однозначно запрет сохранения учеток. Разные мастер пароли по локациям(мы же не говорим про контору на пять компов с одной одинэской), все мастер пароли только у топов(не в смысле руководства) и на бумажке. Даже если они не совсем сложные это не беда, перебор паролей фиксируется на раз.

Допом снапы схд регулярно но не часто раз в сутки достаточно по моему.

Это все только для угрозы из вне.

Ну и кадры ИБ. Я не из них, они должны быть топ, пусть и за дорого.