Nietzscheからの強さについての使い古された引用があるはずですが、私たちはそれを書きませんでした。
ある日、これはどのシステム管理者にも起こり得ます。彼は午前中に仕事に来て、インフラストラクチャをチェックし、ファイルサーバー上に、ユーザーデータの代わりに、身代金要求のあるアーカイブとテキストファイルがあることを発見します。何をすべきか、どのように生きるか、そしてどのように再発を防ぐか、私たちはこの記事を理解しています。
WindowsPC上に構築された会社のインフラストラクチャに起こったケースが考えられます。それで、私たちのヒーローは朝、ユーザーファイルの代わりにファイルサーバー上でアーカイブdata.zipとreadme.txtを発見しました。アーカイブはパスワードで保護されており、教科書には、大量の金額をビットコインウォレットに転送し、転送の確認を指定されたメールに送信し、それに応じてパスワードを受け取るという標準的な要件がありました。私たちの先祖が私たちに遺したので、彼らはテロリストとの交渉を開始しませんでしたが、時間が経ち、データを復元する必要がありました。
状況が発生すると、タスクプールが起動しました。
- データを回復する
- ハッキングルートを設定する
- 再発を防止します
データリカバリを使用すると、すべてが簡単になります。ナイトコピーがすべてです。念のため、削除されたファイルを復元するためのユーティリティを使用しましたが、無駄に、Eraserは明らかにディスク上で動作しました。そこで、バックアップコピーを公開し、ハッキングルートの確立について説明します。
まず、「証拠」を調べることから始めます。ファイルの作成日は作成者とほぼ同じであり、ローカル管理者であり、これ以上興味深いものはありません。オペレーティングシステムに移りましょう。管理者に加えて、ユーザーには管理者権限を持つ理解できないケリーユーザーがいます。もうもっと面白い!さらに調べます。ネットワーク設定の変更-GoogleアドレスはDNSとして指定されています。これはすべてうまくいっていますが、ファイルサーバーはインターネットに直接接続していないため、攻撃者がどのようにしてインターネットにアクセスしたかは明らかではありません。はい、RDP経由でサーバーにアクセスできますが、このRDPは外向きではありません。私たちはさらに探しています。
同社には、リモートで作業する従業員用のターミナルサーバーがあります。調べてみます。セキュリティログには多くのブルートフォースログインがありますが、これ以上疑わしいものはありません。システムに不要なユーザーはなく、設定は変更されておらず、すべてがクリーンです。
遠隔地の従業員について話しているので、そのような従業員のリストを作成し、彼らの職場がどのように設定されているかを確認します。それらのいくつかは、すでに調べられたターミナルサーバーで動作し、いくつかはPCで動作します。そして、ここでエントリポイントが見つかりました。あるデザイナーのPCには、管理者権限を持つローカルユーザーのKellyがいて、彼のダウンロードフォルダーには、データがアーカイブされたWinRar配布キットがあり、消去用のイレイザーがありました。さて、要点はわかりましたが、どのようにして車に乗り、どのようにファイルサーバーに乗りましたか?
設計者のマシンを詳細に調べたところ、リモートアクセス設定でネットワークレベルの認証が有効になっておらず、さらにオペレーティングシステムが長期間更新されていなかったことが判明しました。したがって、おそらく攻撃ベクトルは次のとおりです。RDPアクセスがハングしているポートをスキャンし、ユーザー検証レベルで脆弱性を調査します。次に、システムの脆弱性を使用して、ユーザーKellyを起動するコードを実行し、PCにログインします。その後、アーカイバーがPCのEraserにスローされます。インフラストラクチャを調査し、悪意のあるアクションを実行する必要があります。ここで注目に値するのは、この特定のケースでは、会社が安く降りたということです。従業員は、バックアップコピーからファイルを復元するときだけ入ってきました。それだけです。もちろん、管理者は怠慢のために配布されました。しかし、攻撃者はさらに先に進む可能性があります。データを含むデータベースやドキュメントは暗号化できませんが、手の届かないところにあります。そして最後に、バックアップ自体-彼らがそれらに到達しなかったのは良いことです。
今、最も重要なことは、そのような記事のヒーローにならない方法です。ここでは、実際、すべてが単純です。主なものは警戒です。チェックリストと照らし合わせて確認してください。
- すべてのオペレーティングシステムにはすべて最新のアップデートがあります
- インフラストラクチャへのすべてのエントリポイントを制御します
- 単純なパスワードは使用しないでください
- パスワード認証の場合、安全なパスワードのみを使用するポリシーを展開します
- 可能であれば、証明書によるサインオンを拡張します
- 可能な場合は管理者アカウントの名前を変更します
- 最小特権の原則を使用する
- 内部ファイアウォール
- 企業のアンチウイルス
- オフラインデータコピー
- 周囲への注目の高まりを監視し、反応する
これらの推奨事項の意味。
オペレーティングシステムの更新は、機能を追加するだけでなく、攻撃者によって悪用される可能性のある脆弱性を閉じます。オペレーティングシステムだけでなく、職場で使用されるすべてのソフトウェアを更新する必要があることを理解することが重要です。
外部への出口ポイントを制御することにより、誰が、どのような理由で、どのように内部から会社のネットワークに入るのかを常に知る必要があることを意味します。 RDPが標準ポートで会計士のマシンから突き出ている状況があってはなりません。
安全なパスワードを使用する必要性について、何百、何千もの記事、投稿、メモが書かれています。しかし、人々は、パスワードを取得した人と、より安全なパスワードに変更した人に分けられます。もう一度言いましょう。長さは8文字で、大文字と小文字、数字、特殊文字を使用する必要があります。理想的には、ネットワーク内と最寄りのパスワードマネージャーに組み込まれているジェネレーターを使用します。
また、安全なパスワードについて話している場合、ポリシーは助言ではなく必須です。 Active Directoryグループポリシーを使用すると、スクリプトでユーザーに指定された間隔でパスワードを変更させることができます。さらに、ユーザーが2つのポリシーセーフパスワードを使用せず、使用されなくなったときに変更するだけで済むように、パスワードの最小長と使用するパスワードの数にポリシーが設定されています。
もちろん、強力なパスワードは適切ですが、証明書へのアクセスはさらに優れています。はい、展開するのはより難しく、場所によっては不便ですが、安全です。考えてみてください。おそらく、PKIインフラストラクチャを実装するコストは、ハッカーの攻撃で失われたデータを回復するコストよりも少ないでしょう。
管理レコードの名前を変更すると、デフォルトでシステムに存在し、ブロックされることはめったにない、Administrator、Admin、Administrator、Adminなどのアカウントに対する辞書攻撃を防ぐことができます。管理アカウントの名前をランダムな文字と数字のセットに変更すると、このような攻撃を防ぐことができます。もちろん、このステップでは、グローバルパスワードマネージャーではないにしても、少なくともパスワードレジストリを導入する必要があります。
最小特権の原則は、割り当てられたタスクを実行するための不要な権限を付与しないことを教えています。たとえば、一時ファイルからユーザープロファイルをクリーンアップするサービスは、実際にはファイルサーバーに対する管理者権限を必要とせず、プロファイルストア内のファイルを削除する権限のみを必要とします。また、取り外し用です。ファイルを変更するための権限も必要ありません。これにより、両方のサービスアカウントの資格情報が侵害された場合に発生する問題からあなたを救い、一般的にインフラストラクチャへの攻撃の前線を減らすことができます。
最小特権の原則は、ユーザーのマシンとサーバーにアクティブ化されたファイアウォールが存在する場合にも当てはまります。必要なものだけを残し、残りはオフにするか禁止します。可能な限り、着信接続には応答しません。これ以上あなたのモットーはありません。
アンチウイルスを使用します。はい、ユーザーとシステム管理者は、アンチウイルスが作業を妨害し、パフォーマンスを低下させると常に不満を漏らしています。これは、会社のお金とコンピューターの計算能力の余分な浪費です。しかし、アンチウイルスの欠如が遅かれ早かれその役割を果たし、いつの日かユーザーは手紙からファイルを起動し、ファイルの復号化はアンチウイルスコンプレックスの企業ライセンスよりもはるかに多くの費用がかかります。
バックアップ自体にたどり着かなかったのは良いことだと前述しました。インフラストラクチャから取り出されたコピーを常に用意し、そのようなコピーへのアクセスを可能な限り制限する必要があります。このようなコピーを最新の状態に保つにはコストがかかりますが、ユーザーは、完全なデータ損失よりも四半期ごとに古いファイルに満足するでしょう。
そして最後に、アクセスログを読んでください-それらはたくさんの興味深いものを含んでいます。本格的な侵入防止システムの導入には費用がかかりますが、自分の手で多くのことができます。ポートスキャンまたはクレデンシャルブルートフォースの送信元のアドレスを分析します。ユーザーのマシンとサーバーにマルウェアがないか定期的に確認してください。
もちろん、これらの推奨事項を完全に順守しても、ハッキングに対する100%の保証は得られませんが、少なくともリスクの割合は減少します。また、最も安全なシステムでさえ無防備であり、特定のアクションの結果について完全に理解していないため、従業員のトレーニングを忘れないでください。従業員がフィッシングフォームで自分のアカウントを入力した場合、システムがどれほど安全であっても、その従業員はすでに侵害されています。感染したマシンからのアクセスの場合は、自分でネットワークにマルウェアを起動します。安全を怠ると、従業員だけでなく会社全体に重大な損害を与える可能性があるため、常に注意してください。
ここで、この場合にこれが行われなかった理由について少し説明します。ここでも、TMペンシルのように、すべてがシンプルです。デザイナーの職場は、海賊版のアセンブリを使用して展開されました。そのような致命的な間違いをしないでください。第一に、それは違法であり、第二に、ITインフラストラクチャに対するそのような怠慢の結果をクリーンアップすると、より多くのリソースを失うことになります。あなた自身とあなたのデータに注意してください。また、チェックリストや一般的な状況に追加するものがある場合は、コメントで歓迎します。
広告
当社は、無料のDDoS保護を備えた安全なサーバーを提供しています。ライセンスされたWindowsサーバーを2GB以上のRAMを備えたプランで使用する機能は、サーバーのバックアップを自動的にまたはワンクリックで作成します。
私たちはIntelの非常に高速なサーバードライブを使用しており、ハードウェアを節約していません。ブランドの機器と、ロシアとEUで最高のデータセンターのいくつかだけです。急いで確認してください。
