Блог компании IT-Центр: уроки WannaCry и рекомендации инженеров IT-Центра
логотип компании IT-Центр
russian flag english flag
russian flag english flag
заголовок блога IT Центр

Здравствуйте, это блог IT‑Центра.

Новости компании из первых рук: все, что произошло в компании вчера, позавчера и в прошлый четверг. Все публикации очищены от белого шума и синхронизированы с RSS‑лентой.

Полезная рассылка

IT‑фишки и кейсы для вашего бизнеса, каждые 10 дней, без воды, без спама.



Актуальное

Метки

Как минимизировать вероятность встретить WannaCry

24.07.2017

«В конце концов, тот‑чье‑имя‑нельзя‑называть, совершал великие дела… ужасные, да, но великие».

Г. Олливандер, владелец магазина волшебных палочек в Косом переулке

Вирус WannaCry — программа‑шифровальщик файлов. Шифровальщики сами по себе давно на слуху, поэтому рассмотрим персональные свойства WannaCry.

Как происходит заражение вирусом WannaCry

WannaCry способен к самовоспроизведению на других компьютерах, используя уязвимость SMB протокола операционных систем компании Microsoft.

На деле это значит, что для заражения компьютера уже не требуются активные действия со стороны пользователя: запуск вируса и последующее заражение происходит на компьютерах, доступных заражённой машине через сетевые интерфейсы. Антивирус с персональным межсетевым экраном не спасет в такой ситуации.

Заражённый компьютер сканирует локальную сеть вокруг себя и пытается передать вирус соседним компьютерам. Если между этим компьютером и сетью Интернет нет межсетевого экрана или маршрутизатора с простейшей трансляцией адреса, то для такого компьютера понятие локальная сеть расширяется до сети Интернет. Красиво и ужасно.

WannaCry в сравнении с «обычным вирусом»

WannaCry — программа с отложенным стартом. Сначала этот вирус распространяется на доступные себе компьютеры и, никак не проявляясь, ожидает часа «Х», чтобы приступить к шифрации данных пользователей.

Традиционные вирусы‑шифровальщики приступают к шифрации завирусованного компьютера сразу после заражения. Системные администраторы‑профессионалы узнают об этом сразу и оперативно предпринимают необходимые действия.

WannaCry шифрует файлы надёжными криптостойкими алгоритмами. Традиционные шифровальщики действуют аналогично.

Как минимизировать вероятность заражения WannaCry

  • Используйте легальное ПО и вовремя получайте необходимые обновления.
  • Нанимайте квалифицированный технический персонал для настройки и эксплуатации информационных систем ваших компаний.
  • Вовремя устанавливайте обновления операционной системы.
  • Установите и вовремя обновляйте антивирусный пакет.
  • Работайте под учетной записью без административных привилегий.
  • Не подключайтесь к общедоступным сетям, работайте в сети Интернет, находясь за межсетевым экраном с приватным IP‑адресом. Даже если это неудобно.
  • Практикуйте серьезное резервное копирование. «Сбросить на флешку» — это не резервное копирование.

Список рекомендаций легко продолжить: используйте продвинутые персональные межсетевые экраны, практикуйте многофакторную аутентификацию, работайте внутри специальных виртуальных машин, используйте аппаратные и программные решения разных производителей.

Однако мы понимаем, что расширенный список доступен только профессионалам. Простым пользователям будет неудобно следовать этим рекомендациям.

Политика информационной безопасности IT‑Центр и WannaCry

Клиенты IT‑Центра не пострадали от действий WannaCry. Инженеры IT‑Центра следуют правилам информационной безопасности, изложенным выше. Помимо этого IT Center Cloud использует сетевое сегментирование ресурсов внутри дата‑центра, распределяя структуру облака относительно рисков заражения: сегменты с фильтрацией ARP протокола, фильтры на всех уровнях сетевой модели OSI.

Тем не менее технические эксперты IT‑Центра провели аудит инфраструктуры и внесли изменения в сетевую топологию оборудования IT Center Cloud.

После анализа действий WannaCry инженеры выделили отдельный сетевой сегмент с межсетевым экраном, за границу которого переехал сервер резервного копирования IT Center Cloud. Межсетевой экран реализован на принципиально другой операционной системе принципиально другого производителя.

Применение кросс‑платформенных решений усложняет сопровождение облака и повышает стоимость, требования к квалификации инженеров становятся серьезнее, но для злоумышленников это тоже — серьёзная проблема. 

Мы не питаем иллюзий относительно качества современного программного обеспечения. Инженеры IT‑Центра подготовили скрипт на случай, если существует уязвимость, через которую уже распространился вирус, ждущий своего часа для начала деструктивных действий.

Скрипт содержит последовательность шагов на момент времени, когда компанией‑разработчиком операционной системы еще не выпущено официальное обновление. Главное действующее лицо скрипта — резервная копия на нескольких носителях, имеющих разную природу. Это позволит минимизировать простой и потенциальные финансовые потери клиентов. 

Для чего эта статья

В каждом старом городе, построенном на воде, найдутся специальные столбы с засечками и датой. Эти метки указывают, до какого уровня дошла вода в предыдущее наводнение. Некоторое время местные жители ничего не строят ниже этих отметок, но постепенно чувство опасности притупляется, а мы получаем новое историческое свидетельство о разрушительной силе очередного наводнения. То же произойдет с WannaCry, если забыть о «метках».

С другой стороны в вопросах минимизации рисков не стоит доходить до фанатизма. Стоимость превентивных мер не должна превышать стоимость потери данных. А администраторов, убежденных в том, что «безопасный компьютер — выключенный компьютер» необходимо отсекать еще при приеме в коллектив. Компьютер — инструмент работы, а не тумбочка.

Полезная рассылка

IT‑фишки и кейсы для вашего бизнеса, каждые 10 дней, без воды, без спама.



© 2009–2017 IT-Центр

129347, Москва,
ул. Проходчиков, дом 16, стр. 1,
бизнес-центр «Везендорф»

тел.: +7 (495) 120-0-129
e-mail: info@it-cntr.ru