Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware (/thread-12208.html) |
Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - ichito - 09.09.2020 Ransomware to ta kategoria szkodników, które od lat mają się dobrze a nawet okresowo mają spore tendencje wzrostowe pośród innych infekcji. Podobnie jest i teraz, kiedy znacznie wzrósł ruch w sieci w związku z pandemią i dzięki temu znacznie więcej potencjalnych celów pokazało się na horyzoncie. Cytat:Ataki ransomware to aktualny numer 1 na liście zagrożeń, które wyrządzają najwięcej szkód finansowych i wizerunkowych. Firmy płacą coraz więcej grupom przestępczym przeprowadzającym ataki z udziałem ransomware. Z badań przeprowadzonych przez Coverware wynika, że w drugim kwartale bieżącego roku wartość średniego okupuŹródło cytatu [Aby zobaczyć linki, zarejestruj się tutaj] Bezpośrednie linki do aktualnych poradników [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] RE: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - Quassar - 09.09.2020 PORADNIK – PRCyber-03 Cyberbezpieczeństwo – zapobieganie atakom typu ransomware Strona 2 z 5 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji Nie ma sposobu, aby całkowicie zabezpieczyć swoją organizację przed infekcją szkodliwym oprogramowaniem. Z tego powodu należy zastosować podejście „wielowarstwowej obrony”. Oznacza to stosowanie warstw obrony z kilkoma ograniczeniami na każdej warstwie. Będzie wówczas więcej możliwości wykrycia szkodliwego oprogramowania a następnie zatrzymania go, zanim wyrządzi prawdziwą szkodę Twojej organizacji. Należy przyjąć, że niektóre rodzaje szkodliwego oprogramowania będą infiltrować organizację, więc należy podjąć kroki w celu ograniczenia wpływu takiego działania i przyspieszenia reakcji na zagrożenie. Poniżej znajdziesz 4 wskazówki, jak możesz zabezpieczać swoją organizację. Wskazówka 1: rób regularne kopie zapasowe Kluczowym działaniem jest zapewnienie aktualnych kopii zapasowych systemów oraz ważnych plików - jeśli tak zrobisz, będziesz mógł odzyskać swoje dane bez konieczności płacenia okupu. Wykonuj regularne kopie zapasowe najważniejszych plików – sposoby mogą być rożne, zależne od typów danych i organizacji - sprawdź, czy wiesz, jak przywrócić pliki z kopii zapasowej. Upewnij się, że kopia zapasowa jest przechowywana poza Twoją siecią („offline”), w pamięci masowej nie podłączonej do Twojej sieci lub w dedykowanej do tego celu usłudze chmurowej. Usługi synchronizacji w chmurze (takie jak Dropbox – usługa przestrzeni dyskowej świadczona przez firmę Dropbox, OneDrive – wirtualny dysk oferowany przez Microsoft, SharePoint – platformę aplikacji webowych firmy Microsoft lub Dysk Google - usługę do przechowywania i synchronizacji plików stworzona przez firmę Google) nie powinny być używane jako jedyna kopia zapasowa. Wynika to z faktu, że mogą one automatycznie zostać zsynchronizowane natychmiast po „zaatakowaniu plików”, a wówczas utracisz również połączone kopie. Upewnij się, że urządzenie zawierające kopię zapasową (takie jak zewnętrzny dysk twardy lub pamięć USB) nie jest na stałe podłączone do sieci i najlepiej, aby kopii zapasowych było kilka. Atakujący może zdecydować się na atak ransomware, gdy wie, że nośnik danych zawierający kopie zapasowe jest podłączony do sieci. Wskazówka 2: Zapobiegaj przedostawaniu się szkodliwego oprogramowania na urządzenia Możesz zredukować ryzyko przedostania się do sieci w Twojej organizacji szkodliwych zawartości poprzez zastosowanie następujących działań: filtrowanie plików, zezwolenie na odbieranie plików określonych typów; PORADNIK – PRCyber-03 Cyberbezpieczeństwo – zapobieganie atakom typu ransomware Strona 3 z 5 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji blokowanie witryn, o których wiadomo, że są szkodliwe – możesz skorzystać z informacji dostępnych na stronie [Aby zobaczyć linki, zarejestruj się tutaj] aktywne sprawdzanie zawartości stron internetowych, wiadomości e-mail itp., korzystanie z programów antywirusowych, które potrafią blokować znane im szkodliwe oprogramowanie na podstawie dostępnych sygnatur wirusów. Zazwyczaj są one wykonywane przez usługi sieciowe, a nie urządzenia użytkowników, przykładowo: filtrowanie poczty (w połączeniu z filtrowaniem spamu), które może blokować szkodliwe wiadomości e-mail i usuwać z nich wykonywalne załączniki; filtrowanie z wykorzystaniem serwerów proxy, które blokują dostęp do znanych szkodliwych stron internetowych; bramy bezpieczeństwa internetowego, które mogą sprawdzać zawartość niektórych protokołów pod kątem znanego szkodliwego oprogramowania; bezpieczne listy przeglądania w przeglądarkach internetowych, które mogą uniemożliwić dostęp do witryn znanych z dystrybucji szkodliwych zawartości. Niektóre ataki ransomware są przeprowadzane przez atakujących, którzy uzyskali dostęp do sieci za pomocą protokołu zdalnego dostępu, takiego jak RDP (ang. Remote Desktop Protocol). Powinieneś uniemożliwić dostęp do Twoich sieci przestępcom stosujących tzw. atak typu „Brute-Force”, czyli opartego na metodzie prób i błędów. Możesz to zrobić wdrażając w organizacji m.in. uwierzytelnianie wieloskładnikowe (MFA), czy stosując połączenia wykorzystujące wirtualną sieć prywatną (VPN). Wskazówka 3: Zapobiegaj uruchamianiu szkodliwego oprogramowania na urządzeniach Podejście „wielowarstwowej ochrony” zakłada, że przestępca może znaleźć „lukę” w zabezpieczeniach i szkodliwe oprogramowanie może dotrzeć do Twoich urządzeń. Dlatego powinieneś podjąć kroki, aby zapobiec uruchomieniu szkodliwego oprogramowania w sytuacji gdy, mimo wszystko, znajdzie się w Twojej organizacji. Wymagane kroki będą się różnić dla każdego typu urządzenia i systemu operacyjnego, ogólnie jednak należy rozważyć użycie zabezpieczeń na poziomie urządzenia, takich jak: 1. Centralne zarządzanie urządzeniami korporacyjnymi w celu: zezwolenia tylko zaufanym aplikacjom na działanie na urządzeniach firmy poprzez wykorzystanie dedykowanych rozwiązań, w tym funkcji AppLocker; zezwolenia na uruchamianie aplikacji tylko z zaufanych sklepów z aplikacjami (lub innych zaufanych lokalizacji). PORADNIK – PRCyber-03 Cyberbezpieczeństwo – zapobieganie atakom typu ransomware Strona 4 z 5 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji 2. Korzystanie z wersji Enterprise oprogramowania antywirusowego. Aktualizuj na bieżąco oprogramowanie wraz z jego bazą wirusów. Zapewnij swoim pracownikom edukację w zakresie bezpieczeństwa i szkolenia uświadamiające. 3. Wyłącz lub ogranicz makra w pakietach biurowych, co oznacza: wyłączanie (lub ograniczanie) innych środowisk skryptowych (np. PowerShell); wyłączenie uruchamiania automatycznego dla podłączonych nośników (lub uniemożliwienie korzystanie z nośników wymiennych, jeśli nie jest to wymagane); ochronę swoich systemów przed możliwymi szkodliwymi makrami w Microsoft Office. Ponadto atakujący może wymusić wykonanie kodu, wykorzystując luki w zabezpieczeniach urządzenia. Zapobiegaj temu, utrzymując urządzenia poprawnie skonfigurowane i posiadające najbardziej aktualne oprogramowanie: instaluj aktualizacje bezpieczeństwa, natychmiast gdy tylko będą dostępne, aby w ten sposób „załatać” błędy, które przestępcy mogą wykorzystać; włącz automatyczne aktualizacje systemów operacyjnych, aplikacji i oprogramowania sprzętowego (tzw. firmware), jeśli możesz; zawsze korzystaj z najnowszych wersji systemów operacyjnych i aplikacji, aby korzystać z najnowszych funkcji bezpieczeństwa; konfiguruj zapory sieciowe, domyślnie blokując połączenia przychodzące. Wskazówka 4: Ogranicz wpływ infekcji i umożliw szybką reakcję Poniższe kroki zapewnią, że osoby reagujące na incydenty będą mogły pomóc Twojej organizacji szybko dojść do normlanego funkcjonowania po ataku: Pomóż zapobiegać w rozprzestrzenianiu się szkodliwego oprogramowania w całej organizacji. Zapobiegnie to swobodnemu przemieszczaniu się atakujących po urządzeniach w sieci w Twojej organizacji. Zapobiegnie to pozyskaniu poświadczeń uwierzytelniania lub wykorzystania narzędzi wbudowanych. Do uwierzytelniania użytkowników stosuj uwierzytelnianie wieloskładnikowe (MFA), a w szczególności uwierzytelnianie dwuskładnikowe (2FA). Nawet jeśli szkodliwe oprogramowanie wykradnie poświadczenia, nie można będzie ich ponownie użyć. Upewnij się, że nieaktualizowane systemy operacyjne i aplikacje są odpowiednio oddzielone od reszty sieci. Regularnie sprawdzaj i usuwaj nieużywane już uprawnienia użytkownika, aby ograniczyć możliwość rozprzestrzeniania się szkodliwego oprogramowania. Szkodliwe oprogramowanie może rozprzestrzeniać się tylko do miejsc w sieci, do których mają dostęp konta zainfekowanych użytkowników. PORADNIK – PRCyber-03 Cyberbezpieczeństwo – zapobieganie atakom typu ransomware Strona 5 z 5 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji Administratorzy systemu powinni unikać korzystania ze swoich kont administratora do obsługi poczty e-mail i przeglądania stron internetowych, aby uniknąć uruchamiania szkodliwego oprogramowania z wysokimi uprawnieniami systemowymi. Zaprojektuj swoją sieć tak, aby interfejsy zarządzania były jak najmniej narażone na ataki. W ramach dobrego zarządzania zasobami prowadź rejestr stosowanych wersji oprogramowania zainstalowanych na urządzeniach, który będzie natychmiast dostępny w przypadku potrzeby szybkiej aktualizacji ich zabezpieczeń. Aktualizuj nadzorowaną i zarządzaną infrastrukturę, tak, jak aktualizujesz swoje urządzenia i nadaj priorytet urządzeniom, które wykonują funkcje związane z bezpieczeństwem w sieci (takie jak firewalle) i inne urządzenia łączące różne sieci. Opracuj procedurę reagowania na incydenty, stosuj ją i aktualizuj z każdą zmianą w organizacji. PORADNIK – PRCyber-04 Cyberbezpieczeństwo – jak sobie radzić z ransomware Strona 2 z 4 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji Ransomware to szkodliwy program, który szyfruje pliki na komputerach, blokując nam do nich dostęp. Bardzo często jedyną osobą, która potrafi złamać szyfr, jest sam atakujący. Rysunek 1 Zdjęcie informacyjne o infekcji ransomware. Przede wszystkim, należy podejmować kroki zapobiegające infekcjom szkodliwym lub szantażującym oprogramowaniem. Zostały one opisane przez nas w innym artykule. Jeżeli jednak doszło do ataku, podejmij niezwłocznie opisane niżej kroki. Jeśli Twoja organizacja została już zainfekowana szkodliwym lub szyfrującym oprogramowaniem, te kroki mogą pomóc w ograniczeniu wpływu infekcji. Pamiętaj! Jeżeli nie masz fachowców na miejscu, warto wezwać specjalistów w zakresie reagowania na incydenty lub informatyki śledczej. Pomogą oni poprawnie zabezpieczyć zebrać materiał dowodowy. PORADNIK – PRCyber-04 Cyberbezpieczeństwo – jak sobie radzić z ransomware Strona 3 z 4 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji Komputery i inne urządzenia 1. Natychmiast odłącz zainfekowane komputery, laptopy lub tablety od wszystkich połączeń sieciowych, zarówno przewodowych jak też bezprzewodowych. 2. W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.Zastanów się, czy w bardzo poważnym przypadku konieczne może być wyłączenie Wi-Fi i wyłączenie połączeń sieci bazowej (w tym przełączników sieciowych). 3. Zresetuj poświadczenia, w tym hasła (szczególnie dla administratorów) - ale sprawdź, czy nie blokujesz systemów niezbędnych do odzyskiwania danych. Zgłoszenie incydentu 4. Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu). 5. Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik. 6. Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej. 7. Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z [Aby zobaczyć linki, zarejestruj się tutaj] . W zgłoszeniu przekaż informacje opodjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia. Przywracanie danych z kopii zapasowej 8. Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu. 9. Przed przywróceniem danych z kopii zapasowej sprawdź, czy kopia jest wolna od oprogramowania malware i ransomware. Dane należy przywrócić tylko z kopii zapasowej, jeżeli jesteśmy pewni, że kopia zapasowa nie jest zainfekowana. 10. Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Niestety, nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc – może się udać tylko jeśli przestępca popełnił błąd. PORADNIK – PRCyber-04 Cyberbezpieczeństwo – jak sobie radzić z ransomware Strona 4 z 4 Departament Cyberbezpieczeństwa Ministerstwo Cyfryzacji Po odzyskaniu danych z kopii zapasowej 11. Podłącz urządzenia do niezainfekowanej sieci, aby pobrać, zainstalować i zaktualizować system operacyjny i całe inne oprogramowanie. 12. Zainstaluj, zaktualizuj i uruchom oprogramowanie antywirusowe. 13. Połącz się ponownie z siecią. 14. Monitoruj ruch w sieci i uruchamiaj skanowanie antywirusowe, aby stwierdzić, czy nadal występuje infekcja. 15. Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania). O tym jak się zabezpieczyć przed atakiem ransomware, możesz przeczytać w naszym innym artykule. Uwaga! Pliki zaszyfrowane przez większość rodzajów ransomware nie mogą zostać odszyfrowane przez nikogo innego niż atakującego. Nie trać czasu ani pieniędzy na usługi, które rzekomo mogą to zrobić. W niektórych przypadkach specjaliści ds. bezpieczeństwa stworzyli narzędzia, które mogą odszyfrować pliki z powodu słabości szkodliwego oprogramowania (które mogą być w stanie odzyskać niektóre dane), ale należy zachować ostrożność przed uruchomieniem nieznanych narzędzi na urządzeniach. RE: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - ichito - 09.09.2020 Dzięki @Quassar za wyciągnięcie z tekstów poradników bardzo istotnych informacji. Punkt ode mnie RE: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - Quassar - 09.09.2020 W sumie te mini poradniki nie wprowadzają nic czego bym ludziom na codzień nie mówił. RE: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - M'cin - 09.09.2020 Dla Ciebie to nic, dla informatyka próbującego dotrzeć do głów zarządców majątku to może być ratunek od szaleństwa... RE: Ministerstwo Cyfryzacji publikuje poradniki do walki z ransomware - Quassar - 11.09.2020 Też miałem taką osobę w wcześniejszej pracy co nie chciał zainwestować w NAS do kopi zapasowej i coś tam jeszcze... to kazałem mu napisać oświadczenie na papierze czemu nie chce zainwestować w zabezpieczenia firmy.. bo ja potem nie chce dostawać kary finansowej kiedy będzie infekcja któta uszkodzi dane i sparaliżuje firmę lub wyciek danych.. I firma dostanie kary i tak dalej ze stopy państwa lub kiedy to firma będzie mnie obwinąć za nie moje błędy żebym miał podkładkę na swoją obronę. Nagle nie było problemu z inwestycją w firmę i zabezpieczenia |