Чуть раньше неизвестные парализовали работу крупного автомобильного дилера. Сотрудники отдела по раскрытию преступлений в сфере высоких технологий криминальной милиции УВД Миноблисполкома подготовили ряд рекомендаций, следуя которым, можно минимизировать риск проникновения в компьютер посторонних.
Кто виноват в атаках
Новую волну шифрования связывают с тем, что хакерская группировка получила доступ к специальным шпионским программам, которые американское Агентство национальной безопасности (АНБ) использовало для разведывательной деятельности. Сначала их пытались продавать, затем выложили в открытый доступ, чем и воспользовались сетевые вымогатели. Антивирусные программы по разным причинам не всегда в состоянии защитить от хакерских атак — вредоносные программы могут содержать сообщения, пришедшие по электронной почте, подменные сайты. Проникнуть на компьютер злоумышленники могут и путем подбора паролей.
— Выезжая в организации, подвергшиеся атаке шифровальщиков, изучая структуру их работы, мы пришли к выводу, что системные администраторы и руководство не обеспечивают должным образом безопасность, — говорит Дмитрий Дудков, начальник ОРП в сфере высоких технологий КМ УВД Миноблисполкома. – В результате анализа способов и методов совершаемых киберпреступлений подготовлены рекомендации, как свести к минимуму риски. Они пригодятся и системным администраторам, и владельцам обычных компьютеров, которые имеют выход в интернет.
Тайные хранилища и секреты
Многие делают резервные копии баз данных, однако хранят их либо на этом же сервере, только в соседней папке, либо в облачном хранилище, куда автоматически получает доступ тот, кто зашел на компьютер. Разумеется, эта информация тоже шифруется.
— Сетевое хранилище следует делать отдельным и невидимым для посторонних, доступ к нему может быть только у администратора, — настоятельно рекомендуют в отделе «К». — Его можно создать в «облаке» или же приобрести отдельный сетевой накопитель, в котором используют несколько винчестеров, настроенных с технологией виртуализации данных «RAID массив». В таких массивах несколько винчестеров работают как единый диск, и в каждом хранится идентичная информация.
Крайне важно разграничить права пользователей. Иначе, взломав пароль, например, менеджера, с помощью инструментов АНБ через специальные команды злоумышленники могут повысить свои права до уровня администратора и уже в системе делать все, что им заблагорассудится. Для эффективного управления пользователями в локальной сети и ее безопасностью компьютеры необходимо объединить в доменную сеть организации, управляемую главным сервером (контроллером домена). При настройке его важно правильно распределить пользователей по отделам и ограничить им доступ через групповую политику. Необходимо указать, какие программы им разрешено запускать, а какие нет. При этом лучше от всех закрыть системный диск «С», позволив разрешить запуск только определенного ПО (офисного и бухгалтерского). Стоит также ограничить количество попыток ввода неверного пароля.
— Для работы создается общий каталог, где можно обмениваться информацией, все остальные разделены. Скажем, работник не сможет зайти в папку своего начальника, скачать что-либо или отключить антивирусную программу. Если кто-то и запустит вредоносный файл, полученный по электронной почте или принесенный на флешке, то повредится только общий каталог для обмена ну и папка того человека. А это уже не такая масштабная потеря, которая парализует работу организации на дни и даже на недели.
Не знаю пароль…
Достаточно простой, но эффективный способ защититься от проникновения извне – запаролить антивирусную программу. Первое, что делает хакер, забравшись на чужой сервер, — приказывает завершить работу «антивирусника». Здесь его будет ожидать препятствие.
Кстати, о паролях… К их выбору следует подходить ответственно, не останавливаясь на простейших вариантах. Когда сервер открыт для интернета, то есть туда можно зайти удаленно, хакеры пытаются их подобрать. Список наиболее часто используемых паролей есть в сети, существуют и утилиты, которые их генерируют.
Еще один простой вариант защиты — каждому пользователю можно определить время работы. Например, бухгалтер, который работает с 9.00 до 18.00, сможет зайти к себе только с 8.30 до 19.00. Все остальное время во входе будет отказано, даже если пользователь введет правильный логин и пароль. Так можно и проследить, под чьей учетной записью к вам пытается проникнуть вредоносная программа: обычно это происходит ночью или по выходным.
Хорошо бы настроить брандмауэр, то есть межсетевой экран, так, чтобы он разрешал доступ к серверу только с определенных IP-адресов — скажем, только провайдеров, зарегистрированных на территории Беларуси и той страны, с которой фирма поддерживает тесные партнерские отношения. Тогда хакерская программа из Африки не сможет даже «прощупать» на прочность ваш пароль.
Меняйте адреса и явки
Все cерверы имеют статический IP-адрес в сети интернет. Если есть необходимость работать удаленным доступом, надо менять стандартный порт подключения к удаленному рабочему столу (3389) на пятизначный, скажем 35328. Нестандартный порт собьет с толку сканер злоумышленников, а закрытие неиспользуемых портов убережет от незваных гостей.
Фильтрация трафика позволит организации не только защититься от злонамеренных чужаков, но и оградить работников от путешествий по соцсетям вместо работы. Для этого достаточно активизировать в своем личном кабинете у провайдера функцию «Родительский контроль».
Стопроцентной защиты от сетевых злоумышленников нет, но использование перечисленных рекомендаций вместе с хорошим антивирусным программным обеспечением и актуальными обновлениями безопасности позволит свести к минимуму риски проникновения извне.