Po WannaCry som, tak ako asi veľká časť komunity, dúfal, že to bolo aspoň na niečo dobré a že teraz už každý musí vedieť, ako sa proti ransomwaru brániť. Bohužiaľ to zjavne nebola pravda a prípad benešovskej nemocnice to len ukázal v plnej kráse. Za posledných 6 rokov, počas ktorých sa dá hovoriť o ransomwari ako o poprednej hrozbe, sme sa zjavne nič nenaučili – offline zálohy neexistujú, segmentácia siete neexistuje a takto by som mohol vymenovať ďalšie možné spôsoby prevencie, ktoré by síce mali byť jasné z toho množstva rôznych edukačných snáh, ale stále sa nejak nedostali do realizácie.
Medializovaných prípadov ransomwaru je u nás za tie roky len pár, nemedializovaných bude ale oveľa viac, aj keď asi nie toľko, čo napr. v Nemecku, či ďalších štátoch západnej Európy. Na otázku prečo to tak je a prečo sa zdá, že sa nám tieto prípady v celkovom meradle nejak vyhýbajú, si neodpoviem, len navrhnem, aby sme boli vďační, že z nejakého dôvodu máme málo high-profile prípadov ransomwaru alebo všeobecne high-profile kyber útokov. Niekto viac dramaticky založený by povedal, že by sme mali byť radi, že ešte kvôli tomu nikto nezomrel.
Najprv k samotnému útoku zo širšej perspektívy. Na presnom type ransomwaru prakticky nezáleží. Na čom záleží viac je to, či išlo o cielený útok, alebo nie. Ak nešlo o cielený útok, čiže nemocnicu iba tak štrajchla ďalšia z polonáhodných vĺn ransomwaru šíreného pomocou spamu s nakazenými prílohami, je všetko v poriadku a vlastne sa nič nezmenilo.
Ak išlo o cielený útok, stále som naklonený tomu, považovať to za nesprávny úsudok útočníkov alebo jednoducho za chybu. Ak by to tak nebolo, znamenalo by to, že sme pevne na mape krajín, kde sú dobré ciele pre kyberzločincov, čo bude znamenať, že podobné útoky sa zopakujú. Na správne odpovede zostáva iba čakať.
Mám tu pár nepríjemných a aktuálnych faktov platných nielen pre ransomware, ale pre malware všeobecne:
- ak tam už nie je, tak sa do vášho IT dostane malware – niekto klikne na prílohu, niekto sa nakazí z webu, máte otvorené RDP do internetu, jednoducho sa tam dostane
- ak sa dostane malware na počítač, je veľmi pravdepodobné, že sa sám pokúsi viacerými spôsobmi rozšíriť po sieti
- rozšírenie trvá minúty a ak sa nezastaví, tak detekcia trvá mesiace a odstránenie týždne
Ešte špecificky pre ransomware poznamenám, že v roku 2019 sme videli viacero cielených ransomwarových útokov na organizácie, ktoré si nemohli dovoliť downtime – výrobné podniky, metalurgia, elektrárne, nemocnice – škody sa pohybovali v miliónoch eur týždenne.
Ako sa s ransomwarom ale vysporiadať? Jedinou spoľahlivou odpoveďou sú pravidelné a testované zálohy, pričom nestačí mať jednu zálohu pre všetky dáta na lokálnom serveri. Dobrým základom je 3-2-1 stratégia, čiže 3 kópie dát, na 2 rôznych médiách, z ktorých 1 je offsite (napr. spoľahlivý cloud).
Bohužiaľ, keď sa dostaneme až k zálohám, už je zvyčajne neskoro a útok bol úspešný. Pritom úspešnosť ransomwarových útokov- sa dá znížiť viacerými spôsobmi:
- štandardná kyberbezpečnostná hygiena – dobré heslá, segmentácia siete, vzdelávanie užívateľov, neklikanie a neotváranie phishingových príloh – celkovo veci, ktoré už všetci (ne)vieme
- EDR nástroje – endpoint detection and response – väčšina malwaru sa v prvých hodinách od vzniku nedá detekovať bežným antivírom – ten proste ešte aktuálnu verziu malwaru nevidel a nemá ju v databázach. Tu prichádza na scénu EDR, mladší a vzdelanejší brat antivíru, ktorý sa veľmi zjednodušene povedané pozerá na to, aké neobvyklé deje prebiehajú v systéme – takýmto neobvyklým dejom môže byť napr. že z e-mailu sa spustil Word a ten spúšťa powershellový script, ktorý sa pripája na internet = prišiel e-mail s nakazeným wordovým dokumentom v prílohe, ktorú užívateľ otvoril a tým si vlastne stiahol do počítača malware. Zaujímavou funkcionalitou, ktorú niektoré EDR majú je napr. sieťová izolácia napadnutého počítača alebo automatická reinštalácia. V prípade ransomwaru by EDR mohlo okrem iného detekovať, že nejaký proces maže shadow kópie disku alebo používa systémové šifrovacie knižnice a danú činnosť zastaviť.
- rýchla reakcia na incident– podľa medializovaných správ vo vyššie spomínanej nemocnici trvalo 33 minút od prvých identifikovaných problémov do vyradenia celej IT infraštruktúry. Je veľmi obtiažné zvládnuť tak rýchly útok manuálne. Prirodzeným riešením je použitie automatizácie, napríklad v podobe SOARu, o ktorom som už písal v jednom z predchádzajúcich článkov. Pomocou preddefinovaných playbookov, dostatočného situačného povedomia a vhodnej automatizácie je možné znížiť čas potrebný na analýzu a úspešnú reakciu na ransomwarový incident z desiatok minút na sekundy.
Kým 1. bod sa vo väčšine prípadov musí riešiť lokálne, zvyšné dva body si našli cestu do portfólií kvalitných SOC-as-a-Service – organizácia sa pripojí do daného SOCu a ten už zabezpečuje detekciu, analýzu a pomocou dohodnutých postupov s organizáciou aj rýchlu reakciu na incidenty. Organizácia tak získa komplexnú ochranu pred širokým spektrom kybernetických hrozieb vrátane ransomwaru, bez toho, aby musela vynakladať zbytočné prostriedky na ľudské zdroje, nástroje a prevádzku vlastného bezpečnostného tímu. Ide tak o veľmi vhodné riešenie najmä pre organizácie s obmedzenými prostriedkami, ako sú napr. nemocnice, úrady, školy alebo aj menšie a stredné výrobné podniky a pod.
Ak sa nič nepredvídané nestane, v ďalšom čísle budem pokračovať v seriáli o hierarchii potrieb v kyberbezpečnosti…
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Obrázok: pikisuperstar / Freepik
