Neopakujte chyby benešovské nemocnice nebo OKD

Co je vlastně ransomware?

Ransomware je jedním z druhů škodlivého software. Název napovídá, že jeho cílem je od oběti získat peníze vydíráním (ransom = výpalné / výkupné). O ničivé síle tohoto aparátu se nedávno velmi nepříjemnou formou přesvědčili i v benešovské nemocnici… Nejznámější chování ransomware je založeno na ovládnutí počítače zašifrováním souborů, které se na něm nacházejí, s výzvou k zaplacení, po němž budou (ze strany vyděrače) soubory zase dešifrovány. Zabezpečit se proti tomuto druhu útoku není triviální. Způsobů šíření je však více, a proto musí ochrana proti ransomware probíhat na více frontách, které vychází ze způsobu jeho distribuce. Vyjmenujme si nejprve nejvýznamnější způsoby šíření ransomware:
  • Lidská neopatrnost
  • Známé a dosud neošetřené chyby IT systému
  • Dosud málo známé chyby IT systému
  • Používání zastaralých metod, o nichž se ví, že nejsou bezpečné.
Pojďme se podívat na jednotlivé kategorie podrobněji:

Nejvýznamnější příčiny šíření ransomware

Lidská neopatrnost

Stažení programu pro vlastní potřebu

Kdo z nás kdy nestáhl z internetu nějaký software, který nutně potřeboval, např. pro přehrání filmu nebo pro jiný účel. Když je to zadarmo, moc se nehledí na důvěryhodnost zdroje. Navíc když se název programu tváří velmi důvěryhodně.

Podvodný e-mail

Kdo z nás pečlivě kontroluje, odkud mu dorazil e-mail s přílohou a zdánlivě přesnou instrukcí, že jde o formulář, který je potřeba co nejdříve vyplnit a poslat zpět na personální oddělení. Když má obvyklou firemní grafickou úpravu, kdo si všimne, že mail odesílatele nemá obvyklou koncovku… A co teprve, když útočník podvrhne i mailovou adresu odesílatele? Ta tam je doba legračních e-mailů s nedokonalou češtinou. Dnešní útoky jsou vedeny cíleně a mohou zmást i zkušené uživatele.

Podvodný telefonát

Kdo z nás zná všechny lidi na IT podpoře a nepodlehne důležitosti situace, když mu někdo zavolá „z centrálního IT“; „dovolte mi abych se představil; jsem tady nový…; … a protože je to urgentní, otevřete si prosím stránku XY, stáhněte soubor oprava_xy.exe, a nainstalujte jej„.

Známé a dosud neošetřené chyby systému

Máte rozdělanou práci a Windows vás nutí restartovat kvůli aktualizacím? Odkládáte to třeba týden? To je hodně špatně. V okamžiku, kdy existuje oprava chyby, je problém natolik známý, že může narůstat počet zneužití potencionálním útočníkem.

Dosud málo známé chyby systému

Jde o chyby, které nejsou obecně známé, ale někdo o nich ví. Zejména pak potenciální útočník. Důležité je to, že pro tyto chyby neexistuje oprava (záplata), a ani není zveřejněno žádné doporučené řešení, jak je eliminovat. Tyto chyby jsou poměrně nebezpečné, protože proti nim není účinná ochrana.

Používání zastaralých systémů, o nichž se ví, že nejsou bezpečné

Svět jde neustále dopředu, jenže lidé jsou konzervativní. Vyvine se nová metoda zabezpečení, u níž jsou po nějaké době nalezeny slabiny a způsoby, jak zabezpečení prolomit. Takže je vyvinuta další metoda, která je po čase opět prolomena atd. V průběhu několika let těchto metod zabezpečení existuje široká škála a z důvodu kompatibility jsou podporovány i ty nejstarší, nejméně bezpečné. Ty málo bezpečné by logicky měly zmizet ze světa, ale bohužel to není tak jednoduché – aplikace se leckde nechávají takzvaně dožít. A problém může být na světě. V IT prostředí existují systémy, které lze relativně snadno prolomit a získat tím prostor pro infiltraci systémů modernějších.

Jak se účinně bránit?

Edukace personálu

Vzdělávání a cvičení lidí, a to pravidelně. Čím déle se nic nestalo, tím méně jsou lidé opatrní! Existují nástroje, které pozornost lidí otestují zasláním mailu, jehož formát si můžete přizpůsobit. Nástroj pak vyhodnotí, kolik lidí mail otevřelo a kolik přečetlo. Zároveň i nabídne proškolení formou video kurzů. Toto umí například nástroje rodiny programů komplexní IT ochrany – SOPHOS.

Skupinová ochrana

Skupinovou ochranou je zde míněno zabezpečení vnitřního, důvěryhodného prostředí, v němž jsou připojeni (pouze) relevantní uživatelé.

Ochrana sítě

Ochrana síťových prostředků je prováděna pomocí firewallů nové generace. Na rozdíl od jednoduchých firewallů, které jsou stále ještě ve spoustě organizací používané, zajišťují tato zařízení mnohem komplexnější kontrolu, založenou na sadě mechanismů. Vrcholem kontroly je použití tzv. sand boxu – tedy prověření chování souboru v izolovaném prostředí. Pokud tedy přes firewall nové generace se sand box kontrolou prochází nějaký soubor, je spuštěn v laboratoři výrobce firewallu a je zanalyzováno jeho chování. Teprve poté je buď povolen pro stažení uživatelem, nebo je stažení zakázáno. Dobrým příkladem je opět aparát UTM (Universal Threat Management) SOPHOS.

Ochrana pošty

Ochrana poštovních serverů se neustále vyvíjí. Jednoduché systémy umí zkontrolovat například to, zda v mailu není přenášen zavirovaný soubor. Moderní systémy umí provádět kontroly na vyšší úrovni. Kromě kontroly důvěryhodnosti odesílatele moderní systémy umí například zkontrolovat to, zda emailová adresa odesílatele může přijít ze serveru, z něhož je odeslána. Tedy zda e-mail s odchozím mailem může přijít ze serveru, který s doménou rsm.cz nemá nic společného.

Individuální ochrana

Individuální ochrana je prováděna na koncovém zařízení. Koncovým zařízením je počítač s různými druhy operačního systému nebo přenosné zařízení typu mobil nebo tablet. Jak již bylo řečeno, ransomware není jeden typ software s přesnou definicí chování a jeho způsoby šíření jsou různé. I ochrana proti němu musí být založena na podstatně širší bázi než prostá antivirová ochrana. Klasické antivirové řešení má základ v kontrole souborů a hledání příznaků (signatur), jimiž se známé viry vyznačují. Z podstaty vyplývá, že příznak musí být popsán a pak je program schopen virus najít. Ale co dosud neznámé a nepopsané viry, nebo viry, k nimž na konkrétním zařízení chybí signatura? Zde musí nastoupit mechanismus, který pracuje trochu jinak – vyhodnocuje chování jednotlivých programů a softwarových komponent, je schopen rozpoznat nestandardní chování, zabránit mu a v ideálním případě i napravit škody. Jedním z produktů, který takovouto úroveň ochrany zajišťuje je SOPHOS Intercept X, který je přidáván jako další ochrana ke standardním antivirům (buď výrobce SOPHOS, nebo jiných výrobců).

Závěrem

Problematika je poměrně složitější, než zde bylo popsáno. Cílem článku bylo představit možné způsoby zavlečení ransomware do vašeho prostředí a nastínit možná preventivní opatření. Pokud máte zájem o SOPHOS řešení, které je schopné beze zbytku ochránit vaše prostředí před ransomware a jinými škodlivými kódy, jsme schopni vám systém nejen dodat a nasadit, ale i kvalitně spravovat. Ozvěte se nám a my vám rádi poradíme a vše v praxi předvedeme.
Autoři

Karel Fišnar

Head of Cloud Solutions & Services
Zobrazit detail

Petr Odvárka

Senior System Specialist
Zobrazit detail