Комментарии 12
А запретить левым программам пакетную обработку файлов нельзя?
Каждый раз, когда читаю статью про шифровальщиков об этом думаю. У них же очень специфичная работа в системе. Можно отключить возможность шифровать сразу кучу уже существующих файлы?
Если уж такие строгости по безопасности, то наверное набор программ, работающих с конкретными типами файлов может быть ограничен. То есть с *.doc может работать только офис, с *.с только студия и т.д. А остальным с этими файлами работать запрещено.
Это довольно неплохой в теории способ защиты, который, к сожалению, на практике имеет пару серьезных недостатков:
1. Современные атаки вирусов-шифровальщиков происходят не в автоматизированном режиме. Атакующие могут автоматизировать часть действий, однако и ручную работу (и, что не менее важно, ручное исследование инфраструктуры) они также проводят. Запуск шифровальщика — финальный этап атаки, на момент наступления которого атакующий чаще всего имеет практически полный контроль над инфраструктурой и имеет возможность централизованно ограничивать и завершать работу различных средств защиты, в том числе и описанных вами.
2. По поводу работы только конкретных программ с конкретными файлами — по ощущениям это довольно сильно ограничивает комфорт работы пользователей. Если ваши политики безопасности позволяют это сделать — это хорошо, но на нашей практике это скорее приводит к тому, что пользователи начинают всеми силами пытаться обойти те ограничения, которые замедляют или усложняют их работу
пользователи начинают всеми силами пытаться обойти те ограничения
Смысл в том, чтобы предотвратить несанкционированное, незаметное для пользователя изменение файлов. Если пользователь что-то запускает самостоятельно, то и ладно. Главное чтобы это было осознанное действие.
В принципе и UAC должно бы работать.
А так-то пользователь и сам может по злобе все зашифровать, кто ему помешает)
А если у атакующего есть полный контроль, то тогда конечно...
Хорошая статья. Теория изложена хорошо. Правильно, чем крупнее компания тем сложнее обеспечить сохранность данных. Хотелось бы примеров, что и как применяется.
Хорошая статья. Но хотелось бы получить какие-то best practices по мерам защиты и недопущения шифрования файлов, средствами GPO или как-то иначе. Уверен, варианты есть и выше уже об этом начали дискутировать. Если кто-то обладает подобным опытом, поделитесь.
Как уже писал в соседней ветке, момент запуска шифровальщика — это финальный этап атаки. Так что да, в целом, есть различные подходы по предотвращению шифрования файлов (собственно, данная проблема настолько актуальна, что даже в Windows Defender есть встроенная защита от вирусов-шифровальщиков), но куда более правильно и надёжно направить усилия на обнаружение атаки на более раннем этапе и на недопущение её развития
В описании этих идеальных условий есть одно НО - это не про работу, это про лабораторные среды обитания. У начальства всегда есть доступ ко всему, и попробуй ему этого не дать, даже под угрозой полнейшего краха. 95% компаний имеют одного админа и он выступает и службой ИБ, и почтовым специалистом, и техподдержкой на мониторинге, и даже он и есть подменный админ на случай отпуска, больничного и смерти.
По доступам в шары и к сервисам какое-то время можно протянуть, но потом всё так же ссыпается в бездну рутинных проблем - бухгалтерша приболела, плотёжку нужно провести вчера - бегом дать всем всего. ок, один раз можно запомнить что давал, а на след день обратно отобрать, но вот лето и сотрудники хороводами пошли по отпускам, раскидывая друг дружке свои доступы, много вы там запомните кому что давалось и у кого что забирать, а главное когда и в каком порядке? Ещё и с удобнейшей системой АД в винде, которая не менялась ещё с бестпрактикс конслагерей гестапо.
Держать сеть в чистоте и порядке можно пока речь идут о файловом сервре, РДП, РДГ, Домене и сервере баз данных под 1ску, но потом к этому всему начинают обрастать сервисы, боты, почты, сайты, балансиры и т.д. В общем всё звучит очень красиво пока этим всем занимается 3 отдельных отдела из 5 человек в каждом.
Выключать все или нет? Если начали сыпаться сервисы однозначно Да. СРК в первую очередь. Если есть рубильник "выкл все" это плюс.
Для минимизации вреда и увеличения времени на реагирование однозначно запрет сохранения учеток. Разные мастер пароли по локациям(мы же не говорим про контору на пять компов с одной одинэской), все мастер пароли только у топов(не в смысле руководства) и на бумажке. Даже если они не совсем сложные это не беда, перебор паролей фиксируется на раз.
Допом снапы схд регулярно но не часто раз в сутки достаточно по моему.
Это все только для угрозы из вне.
Ну и кадры ИБ. Я не из них, они должны быть топ, пусть и за дорого.
Как реагировать на атаки шифровальщиков: рекомендации для CISO