Il devrait y avoir une citation usée de Nietzsche sur la force, mais nous ne l'avons pas écrite.
Un jour, cela peut arriver à n'importe quel administrateur système - il vient travailler le matin, vérifie l'infrastructure et constate que sur le serveur de fichiers, au lieu des données utilisateur, il y a une archive et un fichier texte avec une demande de rançon. Que faire, comment vivre et comment éviter les récidives, nous comprenons cet article.
Un cas qui est arrivé à l'infrastructure d'une entreprise qui est construite sur un PC Windows est considéré. Ainsi, notre héros a découvert dans la matinée que sur le serveur de fichiers, au lieu des fichiers utilisateur, l'archive data.zip et readme.txt. L'archive était protégée par mot de passe, et dans le manuel, il y avait une exigence standard pour transférer un montant important vers un portefeuille Bitcoin, envoyer une confirmation du transfert au courrier spécifié et recevoir un mot de passe en réponse. Comme nos ancêtres nous l'ont légué, ils n'ont pas entamé de négociations avec des terroristes, mais le temps a passé et les données ont dû être restaurées.
Lorsque la situation s'est produite, le pool de tâches s'est levé:
- Récupérer des données
- Définir une route de piratage
- Empêcher la récidive
Avec la récupération de données, tout est simple - une copie de nuit est notre tout. Juste au cas où, nous sommes passés par l'utilitaire de restauration des fichiers supprimés, mais en vain, Eraser a évidemment fonctionné sur le disque. Nous avons donc décidé de déployer une copie de sauvegarde et de passer au point d'établir la route de piratage.
Nous commençons par examiner les «preuves». Les dates de création des fichiers sont à peu près les mêmes et celles du créateur - l'administrateur local, rien de plus intéressant. Passons au système d'exploitation. En plus de l'administrateur, les utilisateurs ont un utilisateur Kelly incompréhensible avec des droits administratifs. Déjà plus intéressant! Nous cherchons plus loin. Paramètres réseau modifiés - les adresses Google sont spécifiées comme DNS. Tout cela est bien beau, mais le serveur de fichiers n'a pas de connexion Internet directe, donc on ne sait pas comment l'attaquant est arrivé dessus. Oui, vous pouvez accéder au serveur via RDP, mais ce RDP ne regarde pas vers l'extérieur. Nous cherchons plus loin.
L'entreprise dispose d'un serveur de terminaux pour les employés travaillant à distance. Nous l'examinons. Il y a beaucoup de connexions par force brute dans les journaux de sécurité, mais rien de plus suspect. Il n'y a pas d'utilisateurs inutiles dans le système, les paramètres n'ont pas été modifiés, tout est propre.
Puisque nous parlons d'employés à distance, nous élevons les listes de ces employés et voyons comment leurs lieux de travail sont mis en place. Certains d'entre eux travaillent sur le serveur de terminaux déjà examiné, et certains sur leurs PC. Et ici, le point d'entrée a été trouvé. Sur le PC de l'un des concepteurs, il y avait un utilisateur local Kelly avec des droits administratifs et dans son dossier de téléchargement se trouvait le kit de distribution WinRar avec lequel les données étaient archivées et il y avait une gomme à effacer. D'accord, nous avons trouvé le point, mais comment êtes-vous arrivé sur la voiture et comment êtes-vous arrivé sur le serveur de fichiers?
Une inspection détaillée de la machine du concepteur a révélé que l'authentification au niveau du réseau n'était pas activée dans les paramètres d'accès à distance et, de plus, aucune mise à jour n'avait été installée sur le système d'exploitation depuis longtemps. Donc, vraisemblablement, le vecteur d'attaque était le suivant: scannez le port derrière lequel l'accès RDP est suspendu et recherchez-le à la recherche de vulnérabilités au niveau de la vérification de l'utilisateur. Ensuite, en utilisant une vulnérabilité dans le système, exécutez le code qui démarre l'utilisateur Kelly et connectez-vous au PC. Après cela, un archiveur est jeté sur le PC, Eraser - et c'est à la recherche de l'infrastructure et à l'exécution d'actions malveillantes. Il est intéressant de noter ici que dans ce cas particulier, l'entreprise s'en est tirée à bon marché - les employés ne sont entrés que pour le temps de restaurer des fichiers à partir d'une copie de sauvegarde et c'est tout. Eh bien, l'administrateur, bien sûr, est tombé sous la distribution pour négligence.Mais les attaquants pourraient aller plus loin - les bases de données ou les documents contenant des données ne pouvaient pas être chiffrés, mais hors de portée. Et enfin, les sauvegardes elles-mêmes - c'est bien qu'elles ne les aient pas reçues.
Maintenant, le plus important est de savoir comment ne pas devenir le héros d'un tel article. Ici, en effet, tout est simple: l'essentiel est la vigilance. Vérifiez-vous par rapport à la liste de contrôle:
- Tous les systèmes d'exploitation ont toutes les dernières mises à jour
- Contrôlez tous les points d'entrée dans l'infrastructure
- N'utilisez pas de mots de passe simples
- Pour l'authentification par mot de passe, déployez une stratégie pour n'utiliser que des mots de passe sécurisés
- Développez la connexion par certificats si possible
- Renommez les comptes administratifs si possible
- Utilisez le principe du moindre privilège
- Pare-feu interne
- Antivirus d'entreprise
- Copie de données hors ligne
- Surveillez une attention accrue à votre périmètre et réagissez
Qu'entend-on par ces recommandations.
Les mises à jour des systèmes d'exploitation ajoutent non seulement des fonctionnalités, mais suppriment également les vulnérabilités qui pourraient être exploitées par des attaquants. Il est important de comprendre que vous ne devez pas seulement mettre à jour le système d'exploitation, mais également tous les logiciels utilisés sur le lieu de travail.
En contrôlant les points de sortie vers l'extérieur, nous voulons dire que vous devez toujours savoir qui, pour quelle raison et comment pénètre dans le réseau de l'entreprise de l'intérieur. Il ne devrait y avoir aucune situation où RDP sort de la machine comptable sur un port standard.
Des centaines et des milliers d'articles, de messages et de notes ont été rédigés sur la nécessité d'utiliser des mots de passe sécurisés. Mais les gens sont divisés entre ceux dont les mots de passe ont été récupérés et ceux qui les ont modifiés pour des mots plus sécurisés. Disons-le encore - la longueur est de huit caractères, l'utilisation obligatoire de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Idéalement, utilisez un générateur, dont il y en a beaucoup, à la fois dans le réseau et intégré au gestionnaire de mots de passe le plus proche.
Et lorsque nous parlons de mots de passe sécurisés, la politique ne doit pas être consultative, mais obligatoire. Les stratégies de groupe Active Directory permettent aux scripts de forcer les utilisateurs à modifier leur mot de passe à des intervalles spécifiés. En outre, une politique de longueur minimale de mot de passe et le nombre de mots de passe utilisés est définie de sorte que l'utilisateur n'utilise pas deux mots de passe sécurisés par politique, en les changeant simplement lorsqu'ils deviennent obsolètes.
Les mots de passe forts sont bons, bien sûr, mais encore mieux - l'accès aux certificats. Oui, c'est plus difficile à déployer, peu pratique par endroits, mais c'est sûr. Pensez-y, peut-être que le coût de mise en œuvre d'une infrastructure PKI sera inférieur au coût de récupération des données perdues lors d'une attaque de pirate informatique.
Renommer les enregistrements administratifs permet de lutter contre les attaques par dictionnaire sur des comptes tels que l'administrateur, l'administrateur, l'administrateur et l'administrateur, qui sont présents dans les systèmes par défaut et sont rarement bloqués. Renommer les comptes administratifs en un ensemble aléatoire de lettres et de chiffres empêchera une telle attaque. Bien entendu, cette étape impliquera l'introduction, sinon d'un gestionnaire de mots de passe global, alors au moins d'un registre de mots de passe.
Le principe du moindre privilège nous apprend à ne pas accorder des droits inutiles pour exécuter les tâches assignées. Un service qui, par exemple, nettoie les profils utilisateur des fichiers temporaires, n'a en fait pas besoin de droits d'administration sur le serveur de fichiers; il n'a besoin que de droits pour supprimer des fichiers dans le magasin de profils. De plus, c'est pour le retrait. Vous n'avez pas non plus besoin d'autorisation pour modifier les fichiers. Cela vous évitera le problème qui se posera en cas de compromission des informations d'identification, des deux comptes de service, et réduira généralement le front de l'attaque sur votre infrastructure.
Le principe du moindre privilège s'inscrit également dans la présence d'un pare-feu activé sur les machines des utilisateurs et les serveurs. Nous ne laissons que ce qui est nécessaire et désactivons ou interdisons le reste. Nous ne répondons pas aux connexions entrantes autant que possible. Rien de plus n'est votre devise.
Utilisez un antivirus. Oui, les utilisateurs et les administrateurs système se plaignent toujours que l'antivirus interfère avec leur travail, ralentit les performances, ce qui représente un gaspillage supplémentaire d'argent de l'entreprise et de puissance de calcul des ordinateurs. Mais le manque d'antivirus jouera tôt ou tard son rôle et un jour l'utilisateur lancera le fichier à partir de la lettre et le déchiffrement des fichiers coûtera beaucoup plus cher qu'une licence d'entreprise pour le complexe antivirus.
Il a été mentionné ci-dessus qu'il est bon que nous n'ayons pas accès aux sauvegardes elles-mêmes. Vous devez toujours avoir une copie qui est retirée de l'infrastructure et l'accès à ces copies doit être aussi limité que possible. Il est coûteux de maintenir ces copies à jour, mais les utilisateurs seront plus satisfaits des fichiers, même trimestriels, que de la perte complète de données.
Et enfin, lisez les journaux d'accès - ils contiennent beaucoup de choses intéressantes. La mise en œuvre d'un système de prévention des intrusions à part entière coûte cher, mais vous pouvez en faire beaucoup de vos propres mains. Analysez les adresses d'où provient l'analyse de port ou la force brute des informations d'identification. Vérifiez régulièrement les machines et les serveurs des utilisateurs pour détecter les logiciels malveillants.
Bien sûr, même le respect total de ces recommandations ne vous donnera pas une garantie à 100% contre les hacks, mais au moins ils réduiront le pourcentage de risque. Et n'oubliez pas de former vos collaborateurs, car même le système le plus sécurisé est sans défense avec une méconnaissance totale des conséquences de certaines actions. Si un employé a saisi son compte sur un formulaire de phishing, quelle que soit la sécurité du système, l'employé a déjà été compromis. Si l'accès provient d'une machine infectée, vous lancez vous-même des logiciels malveillants sur votre réseau. Soyez toujours prudent, la négligence de la sécurité peut causer des dommages importants non seulement à l'employé, mais aussi à l'entreprise dans son ensemble.
Maintenant, pourquoi cela n'a pas été fait dans ce cas. Ici aussi, tout est simple, comme un crayon TM - le lieu de travail du designer a été déployé à l'aide d'un assemblage piraté. S'il vous plaît, ne faites pas de telles erreurs fatales. Premièrement, c'est illégal, et deuxièmement, vous gaspillez plus de ressources lorsque vous nettoyez les conséquences d'une telle négligence de votre infrastructure informatique. Prenez soin de vous et de vos données. Et si vous avez quelque chose à ajouter sur la liste de contrôle ou sur la situation en général, vous êtes les bienvenus dans les commentaires.
La publicité
Notre société propose des serveurs sécurisés avec une protection DDoS gratuite. La possibilité d'utiliser un serveur Windows sous licence avec des plans avec 2 Go de RAM ou plus, en créant des sauvegardes de serveur automatiquement ou en un clic.
Nous utilisons des disques serveurs Intel extrêmement rapides et n'économisons pas sur le matériel - uniquement des équipements de marque et certains des meilleurs centres de données de Russie et de l'UE. Dépêchez-vous de vérifier.
