Добавить новость
Ru24.pro News‑life.pro News‑life.org 29ru.net 123ru.market Sportsweek.org Iceprice.info
123ru.net

Все города России и Украины

Ru24.pro
Обучение на санитаров в Москве: рейтинг учебных центров
Financial Times: Египет примет меры для снижения расходов на топливо
Лерчек основала косметический бренд "Еййя" на фоне расследований
Дышим свободно: как правильно очистить воздух в доме?
МЧС сообщило, что непогода в Дагестане прекратится к ночи
Учащиеся и педагоги из почепской Речицы провели масштабный субботник
В Германии хотят вывести американские войска из страны


Новости сегодня

Новости от TheMoneytizer

UDV Group: новые реалии ransomware-атак

Агентство «L.PR» 
UDV Group: новые реалии ransomware-атак

Виталий Рабец, директор ИТ департамента UDV Group рассказал о том, что ransomware-атаки на российский бизнес приобретают новые формы: злоумышленники все чаще используют репутационный шантаж, атаки через подрядчиков и сложные схемы психологического давления, а также объяснил, почему в первые часы после инцидента нельзя отключать системы без подготовки.
 

Какие новые техники вымогателей вы наблюдали в последних атаках на российский бизнес (например, угроза DDoS-атакой, звонки партнёрам и клиентам, публикация данных в даркнете с аукционом)?

Не сказал бы, что техника новая, но она обретает дополнительную популярность. Речь о ситуации, когда злоумышленникам удалось получить хоть какие-то внутренние данные, даже не являющиеся важными, и они используют сам факт проникновения как способ воздействия на партнёров. Мол: «мы расскажем всем вашим партнёрам, что мы вас взломали». Это шантаж риском потери репутации. Лучший способ защиты от этого — рассказать о факте взлома самому, раньше, чем это сделают злоумышленники.

Также сейчас становится очень популярным способ взлома через дочерние компании или подрядчиков/аутсорсеров, которых «головная» компания пускает в свою сеть. Способ достаточно действенный, так как крупная компания обычно хорошо защищает свой периметр от внешних воздействий, но для подрядчиков или дочерних организаций делает «послабления», упрощающие доступ. В то же время сами подрядчики или «дочки» защищены слабо, и злоумышленники используют их как некий «шлюз», чтобы пробраться к крупной рыбе.

 

Если отбросить стандартный совет про «бэкапы», какой класс защиты или конкретная мера, по вашему опыту, наиболее эффективно предотвращает распространение шифровальщика внутри сети после первоначального проникновения?

Лучшая защита от распространения любого вируса внутри сети — это строгое разграничение сетей по VLAN. Изоляция критически важных серверов и, в целом, сегментация. Также немаловажным является строгий контроль учётных записей и их доступов к файлам и ресурсам. Точкой входа для проникновения может быть компьютер рядового сотрудника, но если пользовательская сеть отрезана от сети с критичными данными, а доступы учётных записей строго ограничены, то это сильно усложнит распространение шифровальщика и, в целом, возможности злоумышленников для дальнейшего развития атаки.

Также очень важным является наличие систем анализа сетевого трафика (реклама нашего NTA). Такие системы способны обнаруживать аномалии в сети, попытки доступа к данным от сущностей, от которых таких попыток быть не должно. Также они способны в целом анализировать сеть и указывать на проблемные зоны и потенциальные дыры в структуре предприятия до того, как это станет «точкой входа» для злоумышленников.

 

Каков пошаговый алгоритм действий в первые 24 часа для команды реагирования, помимо отключения систем? На что чаще всего не хватает времени или ресурсов, что усугубляет последствия?

Я бы сказал, что «отключение систем» — не совсем правильное действие. Системы нужно отключать постепенно и с умом. Отключение «всего сразу» может привести к потере важных данных и логов, которые хранятся в памяти и будут очень нужны для дальнейшего расследования инцидента. Первое и очень важное — выявить точку входа. Найти нулевого пациента, и именно его нужно изолировать в первую очередь. Параллельно, и не менее важно, остановить все процессы репликации данных. Все бэкапы, дампы и создание любых резервных копий нужно срочно прекратить. После этого необходимо сохранить все логи и сделать дампы важной для расследования информации. И только после этого стоит «отключать системы».

В первую очередь важно отключать системы именно после остановки скриптов и автоматизации репликаций, потому что после включения системы процесс репликации может заразить шифровальщиком все ваши бэкапы.

Далее уже процедура вполне стандартная — анализ логов и развёртывание полномасштабного расследования.

Немаловажно отметить, что процесс последующего восстановления системы из резервных копий тоже имеет определённые правила. Например, не стоит сразу восстанавливать критически важные данные, а лучше в первую очередь восстанавливать второстепенные системы, чтобы убедиться в «чистоте» и целостности бэкапов. Также важно восстанавливать систему не откатом, а именно полным восстановлением, чтобы не было шансов случайно оставить заражённые данные.

 

Был ли у вас или ваших коллег опыт переговоров с вымогателями? Какие выводы или тактические приёмы можно из этого извлечь?

Опыт был. Самое важное — не поддаваться панике и не вестись на провокации. Злоумышленники в 100% случаев будут пугать вас тем, что захватили полный, стопроцентный контроль, что всё в их власти и что последствия ужасны и невообразимы. По факту же, в моём частном случае, это оказалось чистым блефом, а данные, к которым получили доступ хакеры, были неважные и совершенно не давали им никакого контроля над системой.

Добавлю, что во время переговоров со злоумышленниками важно тянуть время, отвечать лояльно, не провоцировать и прикидываться ничего не понимающей жертвой, чтобы усыпить бдительность злодеев настолько, насколько это возможно, в первую очередь — чтобы выиграть время на оценку масштабов проникновения и заражения.

 

Какой самый неочевидный, но критически важный шаг при восстановлении инфраструктуры после ransomware-атаки, о котором часто забывают?

О нём я, наверное, уже писал выше — это определить порядок восстановления. Восстанавливать сервисы необходимо по порядку критичности, начиная с самых неважных. Об этом часто забывают, потому что самое критичное нужно для работы уже «прямо сейчас», и сотрудники не могут ждать простоя важных сервисов — всем нужно работать, ведь бизнес теряет деньги.

Думаю, сюда также стоит добавить полное и подробное документирование действий, которое в будущем может пригодиться при возможных юридических разбирательствах с заказчиками.

Читайте на сайте

Game24.pro

Owlcat says everything in its new Expanse RPG 'will definitely 100 percent be human-made,' but also that generative AI will be used for 'vision coordination' and 'inspiration'

Вопросы - ответы

Для чего норвежцы даже в 21 веке продолжают высаживать траву на крышах своих домов

Путешествия

Подземный гигант: как гриб опенок темный стал самым большим организмом на Земле

Досуг

Итоги 4-го дня Race to World First в 1-м сезоне Midnight: сплиты, сплиты, сплиты

Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. Абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city
Музыкальные новости
Новости России
Экология в России и мире
Спорт в России и мире
Moscow.media










Топ новостей на этот час

Rss.plus







Спонсорский контент

Все новости smi24.net