IT ExpertМир технологийНаука и техника

WannaCry: как защититься от вымогателей?

Яков Гродзенский | 23.05.2017

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

WannaCry: как защититься от вымогателей?

На прошлой неделе по миру прокатилась эпидемия программы-вымогателя семейства WannaCry. Используя известную еще с 14 апреля уязвимость Microsoft Windows SMB Remote Code Execution (MS17-010), червь удаленно выполнял на атакуемых системах вредоносный код и запускал программу шифрования пользовательских файлов, требуя за расшифровку оплату в биткоинах. В небольшой инструкции мы расскажем об основных мерах предосторожности, которые позволят избежать подобных заражений или свести к минимуму их последствия.

Обновляйте Windows своевременно

Некоторые системные администраторы предпочитают только проверенные временем обновления Windows, но эту ошибочную практику стоит немедленно прекратить. На примере WannaCry мы видим, что связанные с безопасностью критические патчи необходимо применять по мере их появления. Корпорация Microsoft выпустила исправления для всех актуальных версий Windows примерно два месяца назад, поэтому червь заразил только те компьютеры, на которых уязвимость MS17-010 не была закрыта.

Используйте сетевые экраны и IDS/IPS

Из-за своеобразия механизма заражения некоторые антивирусные программы оказались бессильны против WannaCry, но межсетевые экраны вполне могли предотвратить проникновение червя в локальную сеть, если бы системные администраторы запретили внешние соединения на используемые протоколом SMB-порты. Еще лучше внедрить систему предотвращения вторжений, способную выявить и компенсировать уязвимость. Нелишним также будет включение на время эпидемий проверки внутреннего трафика, хотя бы для ключевых сегментов локальной сети.

Еще один интересный класс средств защиты от вторжения – так называемые сетевые песочницы. Они позволяют анализировать разные виды входящего трафика (веб, электронную почту и др.) в изолированной виртуальной среде и пресекать подозрительную активность. Чаще всего песочницы используются крупными компаниями для противодействия целевым атакам на ИТ-инфраструктуру, но есть и решения для защиты конечных рабочих станций.

img

Применяйте антивирусные решения и сканеры уязвимостей

Хотя антивирусные программы не всегда спасают от атак, использовать их необходимо. Каналов проникновения в систему очень много, и удаленная эксплуатация уязвимости Windows далеко не самый распространенный среди них. Куда чаще пользователи запускают вредоносное ПО сами. С этим антивирусы бороться умеют, если их базы данных регулярно обновляются. Кроме того, современные комплексные решения включают в себя возможности продвинутой защиты рабочих станций: контроль использования сетевого трафика приложениями, блокирование работы шифровальщиков, антифишинг и другие полезные фишки. Есть также инструменты для автоматического сканирования узлов сети и поиска незакрытых уязвимостей.

Защищайте привилегированные учетные записи

Наибольший вред корпоративной ИТ-инфраструктуре причиняют атаки на привилегированные учетные записи, поскольку в случае успеха злоумышленники получают практически неограниченный доступ к ресурсам компании. Для их защиты и управления парольными политиками стоит применять специальные решения, такие как Thycotic Secret Server.

Обучайте пользователей

Электронная почта – самый распространенный канал внедрения зловредов в систему. Пользователи часто получают письма со ссылками на вредоносные программы или вложенными исполняемыми файлами. Помимо применения уже упомянутых технических средств защиты, необходимо повышать осведомленность сотрудников – в конечном итоге именно они запускают зараженное ПО на своих компьютерах.

Здесь будут полезны специализированные обучающие программы, такие как Phishman. Система отправляет пользователям письма с признаками вредоносных вложений, фишинга и других угроз кибербезопасности (обычно применяются шаблоны оформления рассылок реальных зловредов, например того же WannaCry). Открывшим условно небезопасные ссылки и вложения сотрудникам высылается обучающий курс, после чего проводятся тестирование и новые рассылки.

Делайте резервное копирование

На случай если все меры предосторожности не дали результата, стоит иметь резервные копии файлов на не подключенном к компьютеру постоянном носителе. Разнообразных решений для организации бэкапа на рынке много, несложно подобрать подходящий вариант для дома, небольшого офиса или крупной компании. Размещение данных в публичном или частном облаке тоже помогает, но только при наличии возможности восстановить удаленные червем незашифрованные копии файлов (обычно это делается через веб-интерфейс сервиса), поскольку они могут исчезнуть в процессе синхронизации локального хранилища с сервером.

И все же

Важно понимать, что абсолютно надежной защиты не бывает – любой ее элемент может пропустить атаку. В подобной ситуации существует только один выход – строить многоуровневую систему кибербезопасности: своевременно обновлять ПО, использовать межсетевые экраны и системы предотвращения вторжений, внедрять современные антивирусные решения и, разумеется, регулярно проводить резервное копирование данных. Самой уязвимой частью ИТ-инфраструктуры при этом по-прежнему остается пользователь, и повышение его осведомленности – важнейшая задача любой компании.

Горячие темы:

Журнал IT-Expert № 05/2017    [ PDF ]    [ Подписка на журнал ]

Об авторах

Яков Гродзенский

Яков Гродзенский

Руководитель направления информационной безопасности компании «Системный софт»

Мероприятия

23.09.2018 — 25.09.2018
XII Конгресс "Подмосковные вечера"

Москва, Атлас Парк Отель. Домодедово, Судаково, 92,

26.09.2018
Loginom Day 2018: продвинутая аналитика, легкая в приготовлении

Москва, event-холл «Инфопространство»

02.10.2018 — 03.10.2018
Открытая конференция для бизнеса и ИТ «ACCELERATE»

Москва, Краснопресненская набережная, 14 Экспоцентр

02.10.2018
Практики построения современного трейдинга

Москва, Арарат Парк Хаятт, зал Саргсян

04.10.2018 — 05.10.2018
БИТ Санкт-Петербург 2018

Санкт-Петербург, проспект Медиков, дом 3, Конгресс-центр «ЛПМ»