Ransomware to złośliwe oprogramowanie, które szyfruje pliki firmy i żąda okupu za ich odblokowanie. W praktyce oznacza to jedno: pewnego ranka nikt nie może otworzyć dokumentów, poczta stoi, system księgowy nie działa, a na ekranie widnieje żądanie zapłaty. Widziałem, jak taki poranek wygląda w firmie, która nie była przygotowana, i w firmie, która była. Różnica między jednym a drugim to nie szczęście, tylko kilka decyzji podjętych wcześniej.
Jak zaczyna się atak
Warto rozumieć, że szyfrowanie to zwykle ostatni etap, a nie pierwszy. Zanim do niego dojdzie, atakujący często siedzi w sieci od kilku dni albo tygodni.
- Wejście. Najczęściej przez phishing, wykradzione hasło albo podatną usługę wystawioną do internetu, na przykład niezabezpieczony pulpit zdalny.
- Rozpoznanie. Atakujący uczy się sieci, szuka kont administracyjnych i lokalizacji kopii zapasowych.
- Wykradzenie danych. Zanim zaszyfruje pliki, często najpierw je kopiuje, żeby móc dodatkowo szantażować ujawnieniem.
- Szyfrowanie. Na końcu uruchamia szyfrowanie, zwykle w nocy albo w weekend, gdy nikt nie patrzy.
W sprawach, które analizowałem, ofiary traciły dane nie dlatego, że nie miały kopii, tylko dlatego, że kopia była podłączona do tej samej sieci i została zaszyfrowana razem z resztą. Backup, który da się skasować z domeny, nie jest backupem.
Fundament, czyli kopie zapasowe 3-2-1
Żadna ochrona nie jest stuprocentowa, dlatego kopia zapasowa jest ostatnią linią, która decyduje, czy firma wraca do pracy w godziny, czy w tygodnie. Sprawdzoną regułą jest 3-2-1.
- 3 kopie danych.
- 2 różne nośniki lub technologie.
- 1 kopia trzymana poza siedzibą i odizolowana od sieci produkcyjnej.
Kluczowe słowo to izolacja. Kopia offline albo niezmienialna, tak zwana immutable, nie da się zaszyfrować nawet wtedy, gdy atakujący przejmie domenę. Dodatkowo kopie trzeba regularnie testować przez odtworzenie, bo backup, którego nikt nigdy nie przywracał, to tylko założenie. Dobrze zaprojektowany backup serwerów uwzględnia i izolację, i cykliczne testy odtworzenia.
Warstwa, która wykrywa atak wcześniej
Sam backup ratuje po fakcie. Chodzi jednak o to, żeby atak w ogóle zatrzymać albo wykryć go, zanim dojdzie do szyfrowania. Do tego służy nowoczesna ochrona stacji i serwerów.
Klasyczny antywirus rozpoznaje znane zagrożenia po sygnaturach. Ransomware potrafi je omijać. Dlatego stosujemy EDR/XDR, czyli warstwę, która obserwuje zachowanie systemu.
- Wykrywa nietypowe wzorce, na przykład proces masowo szyfrujący pliki, i potrafi go automatycznie zatrzymać.
- Pozwala odizolować zainfekowany komputer od sieci jednym kliknięciem, zanim zagrożenie się rozejdzie.
- Zbiera ślady ataku, dzięki czemu wiadomo, jak i którędy ktoś wszedł, a nie tylko że coś się stało.
Ograniczenie zasięgu, gdy już się zacznie
Jeśli atakujący wejdzie, decyduje to, jak daleko dotrze. Kilka zasad w praktyce zmniejsza szkodę.
- Segmentacja sieci. Oddzielenie serwerów, stacji roboczych i systemów krytycznych sprawia, że infekcja jednego działu nie zabiera całej firmy.
- Zasada najmniejszych uprawnień. Zwykły użytkownik nie potrzebuje praw administratora. Przejęcie takiego konta jest dużo mniej groźne.
- MFA na kontach zdalnych i administracyjnych. Samo wykradzione hasło przestaje wystarczać.
- Aktualizacje i łatanie podatności. Wiele ataków korzysta z dziur, na które łatka istnieje od miesięcy.
Plan odtworzenia, czyli co robimy w pierwszej godzinie
Najgorszy moment na wymyślanie procedury to trwający atak. Firmy, które radzą sobie dobrze, mają plan spisany wcześniej. Odpowiada on na proste pytania.
- Kto podejmuje decyzje i kogo powiadamiamy jako pierwszego.
- Co odłączamy od sieci natychmiast, żeby ograniczyć szyfrowanie.
- Skąd i w jakiej kolejności odtwarzamy systemy krytyczne.
- Jak długo firma jest w stanie działać bez danego systemu, czyli ustalone RTO i RPO.
- Kiedy zgłaszamy incydent, w tym ewentualny obowiązek wobec organu nadzorczego przy danych osobowych.
Ten plan to serce disaster recovery. Nie chodzi o gruby dokument, tylko o kilka stron, które zespół zna i przećwiczył.
Czy płacić okup
Odradzam. Zapłata nie gwarantuje odzyskania danych, finansuje kolejne ataki, a firma i tak trafia na listę tych, które płacą, więc bywa atakowana ponownie. Znacznie lepiej zainwestować z wyprzedzeniem w kopie i wykrywanie, bo to one dają realną niezależność od decyzji przestępcy.
Od czego zacząć
Jeśli miałbym wskazać kolejność, wygląda ona tak. Najpierw domknij kopie zapasowe w modelu 3-2-1 z jedną kopią odizolowaną i przetestuj odtworzenie. Potem wdroż EDR/XDR i MFA. Na końcu spisz i przećwicz prosty plan odtworzenia. Te trzy kroki zamieniają potencjalną katastrofę w kontrolowany, choć nieprzyjemny incydent.
Jeśli chcesz sprawdzić, czy Twoja firma przetrwałaby taki poranek, pomożemy przejść przez kopie, ochronę stacji i plan odtworzenia bez zbędnej teorii. Zacznij od rozmowy o tym, gdzie dziś jest wasze najsłabsze ogniwo.