Pláčete vy či vaše infrastruktura?

  • Article

O minulém víkendu jsme byli svědky řádění první verze ransomware nákazy WannaCrypt, častěji také označované jako WannaCry, Wanna, Wanna Crypt0r a podobně. Jejím cílem bylo zašifrování obsahu pevného disku počítače a vydírání obětí, aby za dešifrování obsahu zaplatili požadovanou částku v měně Bitcoin.

Situace se stala natolik závažnou, že společnost Microsoft vydala bezpečnostní aktualizace i pro již nepodporované systémy jako Windows XP, Windows 8 a Windows Server 2003. Pokud je tedy ve svém prostředí stále používáte, měli byste tyto aktualizace neprodleně nainstalovat.

WannaCry pod lupou

Podrobná analýza celého útoku vám poskytne bližší informace o možné detekci této hrozby a její případné eliminaci. Podrobný popis vektoru tohoto útoku vám také může pomoci pochopit princip fungování těchto nových hrozeb. Hrozeb, které leckdy přicházejí ze záhrobí jednotlivých IT systémů a lze jim předejít nepoužíváním neaktualizovaných a nepodporovaných verzí operačních systémů a bezpečným nastavením aktuálního prostředí.

Klientské stanice Windows

  1. Instalovat bezpečnostní aktualizace z Windows Update, především MS17-010.
  2. Ideálně pomocí GPO zakázat starší verze protokolu SMBv1.
  3. Používat správně konfigurovaný firewall a ověřit publikaci TCP portů 139, 445 a UDP portů 137, 138 v rámci sítě a v Internetu, pokud je k němu stanice připojena.
  4. Mít instalován a aktualizován Windows Defender či jiné řešení ochrany proti malware útokům.
  5. Důležité dokumenty zálohujte na OneDrive for Business či pomocí File History na externí média, odkud můžete získat přístup k původním verzím souborů.
  6. Ve firemním prostředí zvažte nasazení Windows Defender Advanced Threat Protection (WDATP), který dokáže detekovat potencionální pohyb škodlivé nákazy v prostředí a tím jej můžete snáze eliminovat.
  7. Na souborovém systému serverů a stanic detekovat výskytu .wnry souborů.
  8. V rámci SCCM definujte a pravidelně kontrolujte soulad vašich systému se stanovenou bezpečnostní politikou, aplikaci GPO a výskyt podezřelých aktivit.
  9. Zvažte nasazení technologií AppLocker a Device Guard, minimalizaci počtu uživatelů s oprávněním lokálního administrátora a provedení upgrade na Windows 10, které nejsou tímto útokem dotčeny.

Azure a veřejný cloud

Samotné infrastrukturní služby jsou před tímto útokem chráněny. Pokud ovšem na platformě Azure či jiného veřejného cloud poskytovatele provozujete vlastní virtuální stroje s potencionálně zranitelnými systémy, měli byste podniknout aspoň tyto následující kroky.

  1. Instalovat MS17-010 pro řešení zranitelnosti CVE-2017-0145 a pravidelně aktualizovat systémy z Windows Update.
  2. Pokud je to možné, zakázat SMBv1.
  3. Ověřit, zda nejsou TCP porty 139, 445 a UDP porty 137, 138 bez důvodu vystaveny do veřejného Internetu.
  4. Zapnout Azure Security Center a povolit kontrolu a detekci hrozeb v rámci vámi provozovaných služeb.
  5. Použít NSG (Network Security Groups) pro oddělení provozu v rámci jednotlivých sítí.
  6. Mít povolen Windows Defender či jiné řešení ochrany proti malware na serveru a pravidelně jej aktualizovat.
  7. Ověřte s vaším poskytovatelem zabezpečení jeho platformy, nebo použijte nezávislé kontroly pomocí Operations Management Suite nebo KPCS ATOM.

Pokud ve vašich silách není rychlá implementace těchto opatření, měli byste vyhledat certifikovaného partnera, který vám pomůže se zabezpečením vašeho prostředí a služeb. V případě, že používáte OneDrive for Business nebo SharePoint Online, v případě nákazy dokážete pomocí online prostředí obnovit předchozí verze souborů. Je samozřejmé, že další prvky obrany se týkají síťové vrstvy i aktualizované antivirové ochrany či souborových serverů.

- Petr Vlk (KPCS CZ, WUG)