Es sollte ein abgenutztes Zitat von Nietzsche über Stärke geben, aber wir haben es nicht geschrieben.
Eines Tages kann dies jedem Systemadministrator passieren - er kommt morgens zur Arbeit, überprüft die Infrastruktur und stellt fest, dass auf dem Dateiserver anstelle von Benutzerdaten ein Archiv und eine Textdatei mit Lösegeldforderung vorhanden sind. Wir verstehen diesen Artikel, was zu tun ist, wie man davon lebt und wie man Wiederholungen verhindert.
Ein Fall, der mit der Infrastruktur eines Unternehmens passiert ist, das auf einem Windows-PC basiert, wird berücksichtigt. So entdeckte unser Held am Morgen, dass auf dem Dateiserver anstelle von Benutzerdateien das Archiv data.zip und readme.txt vorhanden sind. Das Archiv war passwortgeschützt, und im Lehrbuch gab es eine Standardanforderung, einen gewichtigen Betrag in eine Bitcoin-Brieftasche zu überweisen, eine Bestätigung der Übertragung an die angegebene E-Mail zu senden und als Antwort ein Passwort zu erhalten. Als unsere Vorfahren uns vermachten, nahmen sie keine Verhandlungen mit Terroristen auf, aber die Zeit verging und die Daten mussten wiederhergestellt werden.
Als die Situation passierte, stand der Aufgabenpool auf:
- Daten wiederherstellen
- Hacking-Route festlegen
- Eine Wiederholung zu vermeiden
Mit der Datenwiederherstellung ist alles einfach - eine Nachtkopie ist unser Alles. Nur für den Fall, dass wir das Dienstprogramm zum Wiederherstellen gelöschter Dateien durchgingen, aber vergeblich arbeitete Eraser eindeutig auf der Festplatte. Also haben wir uns vorgenommen, eine Sicherungskopie bereitzustellen und mit dem Punkt fortzufahren, an dem die Hacking-Route festgelegt wird.
Wir beginnen mit der Prüfung der "Beweise". Die Erstellungsdaten für die Dateien sind ungefähr gleich und für den Ersteller - den lokalen Administrator - nichts interessanteres. Kommen wir zum Betriebssystem. Zusätzlich zum Administrator haben die Benutzer einen unverständlichen Kelly-Benutzer mit Administratorrechten. Schon interessanter! Wir schauen weiter. Geänderte Netzwerkeinstellungen - Google-Adressen werden als DNS angegeben. Das ist alles schön und gut, aber der Dateiserver verfügt nicht über eine direkte Internetverbindung, sodass nicht klar ist, wie der Angreifer darauf gekommen ist. Ja, Sie können über RDP zum Server gelangen, aber dieses RDP schaut nicht nach außen. Wir suchen weiter.
Das Unternehmen verfügt über einen Terminalserver für Mitarbeiter, die remote arbeiten. Wir untersuchen es. Es gibt viele Brute-Force-Anmeldungen in den Sicherheitsprotokollen, aber nichts Verdächtigeres. Es gibt keine unnötigen Benutzer im System, die Einstellungen wurden nicht geändert, alles ist sauber.
Da es sich um Remote-Mitarbeiter handelt, erhöhen wir die Listen dieser Mitarbeiter und sehen, wie ihre Arbeitsplätze eingerichtet sind. Einige von ihnen arbeiten auf dem bereits untersuchten Terminalserver, andere auf ihren PCs. Und hier wurde der Einstiegspunkt gefunden. Auf dem PC eines der Designer befand sich ein lokaler Benutzer Kelly mit Administratorrechten. In seinem Download-Ordner befand sich das WinRar-Verteilungskit, mit dem die Daten archiviert wurden, und ein Radiergummi zum Löschen. Okay, wir haben den Punkt gefunden, aber wie sind Sie zum Auto gekommen und wie sind Sie zum Dateiserver gekommen?
Eine detaillierte Überprüfung des Computers des Designers ergab, dass die Authentifizierung auf Netzwerkebene in den RAS-Einstellungen nicht aktiviert war und das Betriebssystem außerdem lange Zeit nicht aktualisiert wurde. Vermutlich lautete der Angriffsvektor also wie folgt: Scannen Sie den Port, hinter dem der RDP-Zugriff hängt, und untersuchen Sie ihn auf Schwachstellen auf der Ebene der Benutzerüberprüfung. Führen Sie dann mithilfe einer Sicherheitsanfälligkeit im System den Code aus, mit dem der Benutzer Kelly gestartet wird, und melden Sie sich am PC an. Danach wird ein Archivierer auf den PC geworfen, Eraser - und es liegt an der Untersuchung der Infrastruktur und der Durchführung böswilliger Aktionen. Es ist erwähnenswert, dass das Unternehmen in diesem speziellen Fall billig ausgestiegen ist - die Mitarbeiter sind nur für die Zeit des Wiederherstellens von Dateien aus einer Sicherungskopie eingestiegen, und das war's. Nun, der Administrator fiel natürlich wegen Fahrlässigkeit unter die Verteilung.Angreifer könnten jedoch noch weiter gehen - Datenbanken oder Dokumente mit Daten könnten nicht verschlüsselt, sondern außer Reichweite gebracht werden. Und schließlich die Backups selbst - es ist gut, dass wir sie nicht erreicht haben.
Das Wichtigste ist nun, wie man nicht zum Helden eines solchen Artikels wird. Hier ist alles ganz einfach: Hauptsache Wachsamkeit. Überprüfen Sie sich anhand der Checkliste:
- Alle Betriebssysteme verfügen über die neuesten Updates
- Kontrollieren Sie alle Einstiegspunkte in die Infrastruktur
- Verwenden Sie keine einfachen Passwörter
- Stellen Sie für die Kennwortauthentifizierung eine Richtlinie bereit, um nur sichere Kennwörter zu verwenden
- Erweitern Sie die Anmeldung nach Möglichkeit um Zertifikate
- Benennen Sie Administratorkonten nach Möglichkeit um
- Verwenden Sie das Prinzip des geringsten Privilegs
- Interne Firewall
- Unternehmens-Antivirus
- Offline-Datenkopie
- Überwachen Sie die Aufmerksamkeit auf Ihren Umfang und reagieren Sie
Was ist mit diesen Empfehlungen gemeint?
Aktualisierungen von Betriebssystemen fügen nicht nur Funktionen hinzu, sondern schließen auch Schwachstellen, die von Angreifern ausgenutzt werden könnten. Es ist wichtig zu verstehen, dass Sie nicht nur das Betriebssystem aktualisieren sollten, sondern die gesamte Software, die am Arbeitsplatz verwendet wird.
Mit der Steuerung der Ausstiegspunkte nach außen meinen wir, dass Sie immer wissen müssen, wer, aus welchem Grund und wie von innen in das Unternehmensnetzwerk gelangt. Es sollte keine Situationen geben, in denen RDP an einem Standardport aus dem Computer des Buchhalters herausragt.
Hunderte und Tausende von Artikeln, Posts und Notizen wurden über die Notwendigkeit der Verwendung sicherer Passwörter geschrieben. Aber die Leute sind unterteilt in diejenigen, deren Passwörter abgeholt wurden, und diejenigen, die sie in sicherere geändert haben. Sagen wir es noch einmal - die Länge beträgt acht Zeichen, die obligatorische Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Verwenden Sie im Idealfall einen Generator, von dem es viele gibt, sowohl im Netzwerk als auch im nächsten Passwort-Manager.
Und da es sich um sichere Passwörter handelt, sollte die Richtlinie nicht beratend, sondern obligatorisch sein. Mithilfe von Active Directory-Gruppenrichtlinien können Benutzer mithilfe von Skripten gezwungen werden, ihr Kennwort in bestimmten Intervallen zu ändern. Darüber hinaus wird eine Richtlinie mit einer minimalen Kennwortlänge und der Anzahl der verwendeten Kennwörter festgelegt, damit der Benutzer nicht zwei richtliniensichere Kennwörter verwendet, sondern diese einfach ändert, wenn sie veraltet sind.
Starke Passwörter sind natürlich gut, aber noch besser - Zertifikatzugriff. Ja, die Bereitstellung ist schwieriger, an manchen Stellen unpraktisch, aber sicher. Denken Sie darüber nach, vielleicht sind die Kosten für die Implementierung einer PKI-Infrastruktur geringer als die Kosten für die Wiederherstellung von Daten, die bei einem Hackerangriff verloren gegangen sind.
Das Umbenennen von Verwaltungsdatensätzen schützt vor Wörterbuchangriffen auf Konten wie Administrator, Admin, Administrator und Admin, die standardmäßig in Systemen vorhanden sind und nur selten blockiert werden. Das Umbenennen von Administratorkonten in zufällige Buchstaben und Zahlen verhindert einen solchen Angriff. Dieser Schritt beinhaltet natürlich die Einführung eines globalen Passwort-Managers, wenn nicht sogar eines globalen Passwort-Managers.
Das Prinzip des geringsten Privilegs lehrt uns, keine unnötigen Rechte zur Ausführung zugewiesener Aufgaben zu gewähren. Ein Dienst, der beispielsweise Benutzerprofile von temporären Dateien bereinigt, benötigt keine Administratorrechte für den Dateiserver, sondern nur Rechte zum Löschen von Dateien im Profilspeicher. Darüber hinaus ist es zum Entfernen. Sie benötigen auch keine Berechtigung zum Ändern von Dateien. Dies erspart Ihnen das Problem, das bei einer Gefährdung der Anmeldeinformationen beider Dienstkonten auftritt, und verringert im Allgemeinen die Anzahl der Angriffe auf Ihre Infrastruktur.
Das Prinzip der geringsten Berechtigungen passt auch zum Vorhandensein einer aktivierten Firewall auf Benutzercomputern und Servern. Wir lassen nur das Notwendige und schalten den Rest aus oder verbieten ihn. Wenn möglich, reagieren wir nicht auf eingehende Verbindungen. Nichts mehr ist dein Motto.
Verwenden Sie ein Antivirenprogramm. Ja, Benutzer und Systemadministratoren beschweren sich immer darüber, dass Antivirenprogramme ihre Arbeit beeinträchtigen, die Leistung verlangsamen und dies eine zusätzliche Verschwendung von Unternehmensgeldern und Rechenleistung von Computern darstellt. Das Fehlen von Antivirenprogrammen wird jedoch früher oder später eine Rolle spielen, und eines Tages wird der Benutzer die Datei aus dem Brief heraus starten, und das Entschlüsseln der Dateien kostet viel mehr als eine Unternehmenslizenz für den Antiviren-Komplex.
Es wurde oben erwähnt, dass es gut ist, dass wir nicht selbst zu den Backups gekommen sind. Sie sollten immer eine Kopie haben, die aus der Infrastruktur entnommen wurde, und der Zugriff auf solche Kopien sollte so eingeschränkt wie möglich sein. Es ist teuer, solche Kopien auf dem neuesten Stand zu halten, aber Benutzer sind mit Dateien, die sogar vierteljährlich alt sind, zufriedener als mit vollständigem Datenverlust.
Und schließlich lesen Sie die Zugriffsprotokolle - sie enthalten viele interessante Dinge. Die Implementierung eines vollwertigen Intrusion Prevention-Systems ist teuer, aber Sie können viel mit Ihren eigenen Händen tun. Analysieren Sie die Adressen, von denen der Port-Scan oder die Brute-Force-Funktion für Anmeldeinformationen stammt. Überprüfen Sie die Computer und Server der Benutzer regelmäßig auf Malware.
Selbst wenn Sie diese Empfehlungen vollständig einhalten, erhalten Sie keine 100% ige Garantie gegen Hacks, aber zumindest wird der Prozentsatz des Risikos verringert. Und vergessen Sie nicht, Ihre Mitarbeiter zu schulen, denn selbst das sicherste System ist schutzlos und es besteht kein Verständnis für die Folgen bestimmter Maßnahmen. Wenn ein Mitarbeiter seine Konten in einem Phishing-Formular eingegeben hat, ist der Mitarbeiter bereits gefährdet, unabhängig davon, wie sicher das System ist. Wenn der Zugriff von einem infizierten Computer aus erfolgt, starten Sie selbst Malware in Ihrem Netzwerk. Seien Sie immer vorsichtig, wenn Sie die Sicherheit vernachlässigen, kann dies nicht nur dem Mitarbeiter, sondern auch dem gesamten Unternehmen erheblichen Schaden zufügen.
Nun ein wenig darüber, warum dies in diesem Fall nicht getan wurde. Auch hier ist alles einfach, wie bei einem TM-Bleistift - der Arbeitsplatz des Designers wurde mithilfe einer Raubkopie eingesetzt. Bitte machen Sie keine so fatalen Fehler. Erstens ist es illegal, und zweitens verlieren Sie mehr Ressourcen, wenn Sie die Folgen einer solchen Nachlässigkeit für Ihre IT-Infrastruktur beseitigen. Pass auf dich und deine Daten auf. Und wenn Sie der Checkliste oder der Situation insgesamt etwas hinzufügen möchten, sind Sie in den Kommentaren willkommen.
Werbung
Unser Unternehmen bietet sichere Server mit kostenlosem DDoS-Schutz. Die Möglichkeit, einen lizenzierten Windows Server in Plänen mit 2 GB RAM oder höher zu verwenden und Server-Backups automatisch oder mit einem Klick zu erstellen.
Wir verwenden extrem schnelle Server-Laufwerke von Intel und sparen keine Hardware - nur Markengeräte und einige der besten Rechenzentren in Russland und der EU. Beeilen Sie sich, um zu überprüfen.
