Ransomware przestał być problemem wielkich korporacji. Dziś trafia głównie w małe i średnie firmy. Powód jest prosty. W takich organizacjach infrastruktura IT często rozwija się latami bez większego przeglądu bezpieczeństwa. System działa, więc nikt go nie rusza.
Do momentu aż ktoś straci dostęp do danych.
Znam firmy, które były przekonane, że są przygotowane. Mieli antywirusa, mieli backup, a mimo to po ataku środowisko było zaszyfrowane, a przywracanie systemów trwało kilka dni.
Największy problem polega na tym, że wiele organizacji skupia się na jednym elemencie ochrony, zamiast spojrzeć na całość infrastruktury.
Jak działa ransomware
Z zewnątrz ransomware wygląda prosto. Pliki zostają zaszyfrowane, na ekranie pojawia się komunikat z żądaniem okupu.
Tyle że zanim to się stanie, atakujący bardzo często spędza w sieci firmowej sporo czasu.
Najpierw trzeba dostać się do środowiska. Często przez phishing, czasem przez podatność w systemie VPN, czasem przez przejęte konto w chmurze. W wielu przypadkach atak zaczyna się od zwykłego maila, w który ktoś kliknął w pracy.
Kiedy napastnik uzyska dostęp, zaczyna się drugi etap. Rozpoznanie środowiska.
Sprawdzane są serwery, udziały sieciowe, systemy backupu, dostępne konta administracyjne. Jeśli infrastruktura jest słabo podzielona, atakujący może przemieszczać się między systemami.
Dopiero na końcu uruchamiany jest właściwy ransomware. Wtedy w ciągu kilkunastu minut lub kilku godzin szyfrowane są serwery plików, maszyny wirtualne i często także kopie zapasowe.
I właśnie dlatego samo posiadanie backupu nie oznacza jeszcze odporności na taki atak.
Najczęstsze luki w firmowej infrastrukturze
Kiedy analizuje się środowiska po incydencie, pewne schematy powtarzają się bardzo często.
Jednym z nich są otwarte usługi dostępne z internetu. Zdarza się, że serwer RDP działa na publicznym adresie IP bez dodatkowych zabezpieczeń. Czasem jest to stara bramka VPN z nieaktualnym oprogramowaniem.
Druga rzecz to nadmierne uprawnienia w środowisku. W wielu firmach konta administracyjne są używane do codziennej pracy. Jeśli takie konto zostanie przejęte, atakujący ma od razu dostęp do całej infrastruktury.
Kolejna sprawa to brak segmentacji sieci. Serwery, stacje robocze i systemy produkcyjne działają w jednej przestrzeni sieciowej. Jeśli jedna maszyna zostanie zainfekowana, ransomware może łatwo rozprzestrzenić się dalej.
Często problemem są też stare systemy, które od dawna nie były aktualizowane. W wielu firmach działają jeszcze aplikacje lub serwery, których nikt nie chce ruszać, bo „na nich działa ważny system”.
Z punktu widzenia atakującego to bardzo wygodna sytuacja.
Backup vs odporność na ransomware
W rozmowach z właścicielami firm często słyszę jedno zdanie. Mamy backup, więc jesteśmy bezpieczni.
Niestety to nie zawsze tak działa.
Jeśli backup jest podłączony do tej samej infrastruktury i korzysta z tych samych kont dostępowych, atakujący może spróbować go usunąć albo zaszyfrować razem z resztą danych.
Widziałem sytuacje, w których backupy były wykonywane poprawnie, ale znajdowały się na tym samym serwerze plików co dane użytkowników. Po ataku wszystko zostało zaszyfrowane jednocześnie.
Drugi problem to brak testów odtwarzania danych. Backup istnieje, ale nikt nie sprawdził, czy można z niego szybko przywrócić systemy.
W teorii wszystko wygląda dobrze. W praktyce dopiero po incydencie okazuje się, że proces odzyskiwania danych trwa wiele godzin albo dni.
Odporność na ransomware to nie tylko kopie zapasowe. To również sposób ich przechowywania, separacja od głównej infrastruktury i regularne testy odtwarzania.
Test odporności infrastruktury
Najlepszym sposobem sprawdzenia, czy firma jest przygotowana na ransomware, jest po prostu przetestowanie infrastruktury.
Nie chodzi o symulowanie pełnego ataku, ale o sprawdzenie kilku kluczowych elementów środowiska.
Na przykład:
- czy usługi dostępne z internetu są odpowiednio zabezpieczone
- czy w systemie istnieją konta z nadmiernymi uprawnieniami
- czy backup jest odseparowany od infrastruktury produkcyjnej
- czy istnieją stare systemy z niezałatanymi podatnościami
Taki test często pokazuje rzeczy, których nikt wcześniej nie zauważył. W codziennej pracy administratorzy skupiają się na utrzymaniu systemów. Czasem potrzebne jest spojrzenie z zewnątrz.
Właśnie dlatego coraz więcej firm decyduje się na okresowe przeglądy bezpieczeństwa infrastruktury IT. Nie po to, żeby spełnić formalność, ale żeby zobaczyć gdzie środowisko ma słabe punkty.
Bo kiedy ransomware już się pojawi, na analizę i planowanie zwykle nie ma czasu.
Chcesz sprawdzić, w jakim stanie jest bezpieczeństwo IT w Twojej firmie?
Przeprowadzimy przegląd bezpieczeństwa środowiska IT i pokażemy, gdzie znajdują się potencjalne luki, które mogą zostać wykorzystane podczas ataku.
Umów rozmowę i zobacz, jak wygląda taki przegląd w praktyce.
Odezwij się do nas!