Postoje kompanije koje se ne plaše ransomvera, barem ne više od ostalih sajber pretnji. Te kompanije su svesne da pitanje nije „da li će?“ već „kada će?“ ransomver zakucati na njihova vrata. U takvim kompanijama najčešće postoje SOC (Security Operation Center) timovi koji svakodnevno prate aktivnosti na mreži, učestvuju u planiranju, održavanju i odlukama, analiziraju nove pretnje, izučavaju vektore napada i obrasce ponašanja, otkrivaju ranjivosti, sprečavaju njihovu eksploataciju, kreiraju procedure za rezervne kopije i oporavak, upravljaju rizicima, obučavaju i testiraju zaposlene, postavljaju zamke za „provalnike“. Jednom rečju, bave se bezbednošću. Iako takav pristup u Srbiji nije pretežan, u sledećih nekoliko godina videćemo njegovu ekspanziju.
Na endpoint strani ubrzano se radi na osvešćivanju zaposlenih kojima IT nije primarna struka, jer se u lancu odbrane i dalje smatraju najslabijom karikom. Nepažljivi ili neupućeni u danu mogu da ostanu bez podataka, posla i plate, pa i bez kompanije ako svoje lozinke drže po stikerima, snalaze se za pristup zabranjenom sadržaju, instaliraju šta stignu i klikću gde stignu. Zbog njih i zbog opšte potrebe, periodične obuke o sajber bezbednosti i aktuelnim pretnjama postaće nova stvarnost za sve kompanije svesne rizika života u digitalnom svetu.
Ipak, vreme kada SOC timovi vedre i oblače, a zaposleni sa odgovornošću i razumevanjem pristupaju infrastrukturi koja ih hlebom hrani, nije baš tako blizu. S jedne strane resursa nikad dovoljno, pogotovu za „rasipnička“ odeljenja, a sa druge ljudi kao ljudi, o zdravlju brinu tek kad ih dobrano zaboli. Tendencija je da se traže laki i jednostavni odgovori na kompleksna pitanja. Preti nam virus? Dajte antivirus! I to je u redu, dobra antivirus zaštita jeste osnova i prvi korak u pravom smeru, ali nikako nije jedini. Uostalom, gde ste videli putovanje od jednog koraka?
U seriji tekstova pod naslovom „X pravila za život bez ransomvera“ pokušaću da vam predočim aktuelnosti o ransomveru, preneću vam iskustva iz podrške, gde korisnici obično greše i gde ESET može dodatno da pomogne. Neka pravila će vam biti korisna i zanimljiva, neka naterati na razmišljanje i akciju, a neka vam se mogu učiniti i banalna. Ali, verujte mi, uglavnom su ta banalna prvi uzrok havarija. Možemo početi sa jednim takvim.
1. Nijedan računar ne sme ostati nezaštićen!
Čekaj, zar se to ne podrazumeva?
Na crnom tržištu dark veba bolje se prodaju kompromitovane mreže sa nezaštićenim računarima i hakovanim admin nalozima. Mušteriji ostaje da preko jedne „kvarne jabuke“ zarazi ostatak gajbe i lateralnim kretanjem dođe do srca sistema. Dobra vest je da će ih ESET sprečiti u toj nameri, ali samo ako ga imate na svakom računaru!
Iz prakse se ne sećam slučaja gde je ransomver prošetao pored živog ESET-a. S druge strane, praktično svaki zaključani računar na sebi nije imao ESET zaštitu. Da li nikad nije ni instalirana, ili jeste pa je volšebno nestala, pitanje je za istragu koja će vas dovesti do jednog od dva zaključka: ili je napadač imao dovoljno privilegija da deinstalira AV, ili ga admin nije ni instalirao. Bilo kako bilo, kada se reši zaštite, napadač može da bira šta će – najbezobrazniji instaliraju AnyDesk, pa u komforu i sitne sate sa powershell-om prčkaju po mreži. „Living off the land“ faza može da traje dan, dva, pa i mesec dana, sve dok se ne prikupi dovoljno informacija za terminalnu fazu napada. Čitali ste u vestima kako to izgleda. Strašnije je uživo.
Bez obzira da li upravljate sa 50 ili 20.000 računara, isto pravilo važi – svaki računar u mreži mora da ima ESET zaštitu! Platili ste licencu, nema razloga da je ne koristite u potpunosti. O izazovima da se taj zadatak sprovede u delo možemo da pričamo. Spremamo i radionicu na ovu temu, uposlićemo dostupne alate ESET Protect konzole i operativnog okruženja, ali kvarljivih jabuka ne sme da bude!
2. Zaštitite zaštitu!
A, šta sa gorenavedenim admin nalozima koji mogu da deinstaliraju ESET?
Postavite različite lozinke na sve grupe ESET proizvoda. Za razliku od Windows-a, ESET svoje lozinke ne drži u Registrima do čijih je heševa zabrinjavajuće lako doći. Za 13 karaktera dobre pasfraze napadaču će trebati stotinak miliona godina da je „provali“. A kad završi taj zadatak, trebaće mu još stotinak za pasfrazu na ESET Agentu koji će po automatizmu pustiti novu instalaciju na nezaštićen računar. I, posle dvesta miliona godina, ponovo će biti na početku.
Sa ispunjenjem ova dva pravila, omogućili ste ESET-u da vas štiti i bude zaštićen. To je po svim merilima odličan start, ali sajber bezbednost nije trka na 100 metara.
Čujemo se u narednom tekstu!
