Avtor: Marko Zavadlav, UnistarPro

V zadnjih dneh nas z vseh strani svarijo pred napadi z izsiljevalskimi virusi, konkretno z virusom imenovanim WannaCry. Slišimo, da tudi večje organizacije niso imune na omenjeni virus. Razširil naj bi se že v preko 150 držav na najmanj 200.000 gostiteljev.

Kako je mogoče, da taki virusi uspejo vdreti v naše omrežje in povzročiti poslovno škodo?

Čeprav omenjene informacije še niso potrjene, so zelo verjetne: omenjeni izsiljevalski virus se lahko širi na strežniške sisteme preko ranljivosti protokolov RDP in SMB. Začetni vektor napada, ki zadene delovne postaje poteka preko elektronske pošte s škodljivimi priponkami. Ko izsiljevalski virus okuži gostitelja, preveri, do katerih strežnikov ima dostop in se razširi nanje.

 Kako se lahko obranite pred njimi?

1. NE ODPIRAJTE sumljive pošte!
2. Preverite, ali imate nameščene vse varnostne posodobitve!
3. Namestite ustrezen protivirusni program in poskrbite, da se ta redno posodablja! Uvedite periodično skeniranje!
4. Namestite ustrezen sistem za odkrivanje in onemogočanje sumljive pošte!
5. Prepovejte prejemanje izvršljivih datotek!
6. Ustrezno upravljajte privilegirane račune! Uvedite politiko najmanjših potrebnih pravic!
7. Noben uporabnik ne sme imeti administrativnih pravic, če to ni nujno potrebno. Če je to potrebno, se uvedejo ločeni računi ali sistem za upravljanje s privilegiranimi računi (Privileged Account Management). Uporabniki, ki imajo možnost uporabe privilegiranih računov, se morajo zavedati nevarnosti in postopkov za uporabo le-teh ter uporabljati privilegirane račune le za aktivnosti, za katere so potrebni!
8. Upravljajte pravice dostopa, kot so dostop do datotek, direktorijev in deljenih področij, podatkovnih zbirk in tiskalnikov. Vedno upoštevajte politiko najmanjšega potrebnega nivoja dostopa! Na primer, če mora uporabnik videti določeno datoteko, še ne pomeni, da lahko vanjo tudi piše.
9. Onemogočite izvajanje makro skript v Office programih, ki jih prejmete preko elektronske pošte ali preko interneta!
10. Razvijte in uporabljajte sistem osveščanja in nenehnega izobraževanja vseh uporabnikov! Trenutno poudarite predvsem osveščanja glede socialnega inženiringa ter prepoznavanja škodljive pošte in spletnih prevar!
11. Izvajajte redne penetracijske teste in preglede ranljivosti (vsaj enkrat letno)!
12. Redno preverjajte uporabnost varnostnih kopij!
13. Ločujte omrežja! Predvsem proizvodna omrežja MORAJO biti popolnoma ločena od poslovnih. Uporabljajte ustrezno požarno pregrado!
14. Onemogočajte storitve na strežnikih, ki jih ne potrebujete!
15. Uvedite ustrezen odziv na zaznane grožnje!
16. Uvedite pripravljenost na krizne dogodke oziroma načrtujte neprekinjenost poslovanja; le tako lahko uspešno zmanjšate škodo zaradi nedelovanja poslovnih procesov.

 V praksi to pomeni, da najprej uvedete ustrezne varnostne politike, v katerih predpišete pravice, odgovornosti in ustrezne kontrole za zagotavljanje zaupnosti, celovitosti in razpoložljivosti informacij. Nato uvedete sistem izobraževanja in osveščanja! Potem preverite obstoječo opremo, ki sodeluje pri zagotavljanju varovanja informacij. Po potrebi posodobite, ukinite ali dopolnite z novo opremo.

Vedno pa bodite pripravljeni na prekinitve poslovanja. Zagotovite si primerne načrte, ki bodo močno omilili posledice nedelovanja in izpada prihodkov. Varovanje ni enkraten projekt, ampak nenehen proces. Če ste velika organizacija ali izvajate kritične storitve, razmislite o uvedbi Varnostno operativnega centra (Security Operations Center), lastnega ali ga najemite kot upravljano storitev.

Na ta način je varovanje informacij celovito, ažurno, kompetentno in stalno!