Ransomver je ogromna pretnja ne samo za računar koji je zaražen, već i za celu mrežu. Ukratko, kada zaključa podatke na računaru žrtve, pokušaće da pristupi i svemu čemu taj korisnik ima pravo pristupa – deljenim folderima, mapiranim diskovima, čak i povezanom onlajn skladištu (onedrive, google drive i sl.). Kada šteta nastane, vraćanje rezervne kopije na određeni računar je jedna, a vraćati podatke na celu mrežu – sasvim druga stvar. Sređivanje jednog računara će proći manje-više nezapaženo, sređivanje cele mreže može koštati puno živaca, vremena i novca.

Da biste širenju zaraze stali na put, ESET Security Management Center nudi zadatak pod imenom Isolate computer from the network. Ovaj zadatak omogućava da računar sa problemom izolujete od ostatka mreže, osim u komunikaciji sa ESMC serverom. Ukoliko se na računaru dogodi nešto neočekivano poput Filecoder-a (ESET-ovo kodno ime za sve ransomver pretnje) ili bilo koje neželjene aktivnosti ili stanja kao što su neažurnost endpoint stanice (AV ili OS), neispravno funkcionisanje ili postojanje aktivnih pretnji, ESMC može izolovati računar dok se problem ne reši. Ali, kako naterati ESMC da automatski primeni ovaj zadatak na problematične stanice?

Kada je u pitanju Filecoder, najbolji način da automatizujete izolaciju je primena zadatka na dinamičku grupu koja filtrira Endpoint klijente po tome da li se na njima pojavio Filecoder. Šablon, iliti Dynamic group template po kojem dinamička grupa vrši filtriranje može sadržati bilo koji set pravila sačinjen od informacija koje Endpoint Management Agent vuče sa udaljenog računara, uključujući i informaciju o imenu detektovane pretnje u karantinu.

Dinamičku grupu kreirajte pod statičkom grupom All kako bi filtrirala sve računare koji se prijavljuju ESMC serveru. Nakon toga na nju primenite Isolate computer from the network zadatak po Joined Dynamic Group okidaču. Time ćete automatizovati izolaciju računara gde se pojavio Filecoder – čim uđe u dinamičku grupu, zadatak se automatski primenjuje. Kada završite da čišćenjem i uverite se da ransomver na tom računaru više ne postoji, uklonite stare logove iz ESET klijenta, očistite karantin i sa ESMC servera pustite zadatak za završetak izolacije (End computer isolation from network).

Napomena: Sličan mehanizam je postojao i u ranijim verzijama ESMC servera. Polisu Firewall – Block all traffic except ESMC & EEI connection ste mogli da primenite na isti način, po okidaču ulaska u grupu. Jedina mana je što nju možete da primenite samo na Endpoint Security zaštitu koja ima firewall modul.  Od verzije 7.2 i Endpoint Antivirus može da izoluje računar. Eto još jednog razloga za upgrade na poslednji ESMC server i agente, naravno i na poslednju verziju zaštite, ukoliko to već niste uradili.

(Visited 46 times, 1 visits today)
Podelite na društvenim mrežama ...
Share on Facebook
Facebook
Pin on Pinterest
Pinterest
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin