Biz| Ekonomija| IT| Obrazovanje| Tehnologija

Ransomware: prevencija i oporavak

Dragan Pleskonjic RSS / 04.06.2022. u 21:23

Ransomware - prevencija i šta uraditi ako vas ta nevolja ipak "snađe". Već se desilo mnogima i desiće se mnogima u budućnosti. Budite oprezni i spremni.


Šta je to ransomware? To je zlonamerni softver koji vam zaključa računar, šifruje sve (programe i podatke) i ne da vam da ga koristite dok ne platite otkup. A moguće ni nakon što platite. I još vam priprete da će sve vaše podatke sa računara javno objaviti.

Stop ransomware
Stop ransomware

Kako da se zaštitite i da vodite računa da vam se to ne desi i šta da radite ako vam se ipak desi? Ovo je kombinacija dva posta koja sam objavio na LinkedInu.

Čitajte dalje.

 *** Post 1/2 ***

 Ransomware - bolje sprečiti nego lečiti!


Ovde (na LinkedInu, a verujem i na blogu) se okupljaju poslovni ljudi, pa mislim da je dobro da napišem neka razmišljanja o preventivnim merama i zaštiti od ransomware napada. Razlog je što je bilo nekoliko poziva u pomoć u proteklih par meseci. Tvorci ransomware-a su sve aktivniji.

Za one koji nisu upućeni u termin: to je situacija kada vam „uđe virus u računar ili telefon", pa šifruje podatke i ne da vam da ga dalje koristite dok ne platite otkup, obično u bitkoinima ili drugoj kripto valuti. A možda ni posle toga, zavisno od situacije. Nemojte sebi dozvoliti da do toga dođe, a posebno ne da plaćate otkup jer će te ih „navaditi", pa ih eto opet.

Dakle: preventivne mere su mnogo efikasnije nego reaktivne mere tj. „lečenje" kad vas nedaća snađe.

Koje su preventivne mere:

1. Koristite alate za detekciju zlonamernog koda (antivirusni alati), a takođe i alate za analizu ponašanja i događaja, detekciju i prevenciju upada i curenja podataka (self-marketing: INPRESEC, vSOC, Glog, Security Predictions)
2. Redovno arhiviranje sistema i podatka (engl. Backup)
3. Redovne i pravovremene nadogradnje i ažuriranje softvera (engl. Systems Upgrades and Software Updates)
4. Implementirajte model nultog poverenja (engl. Zero-Trust Model)
5. Segmentacija mreže
6. Inventar digitalne imovine tj. svog hardvera i softvera i "vidljivost krajnjih tačaka"
7. Nepromenljivi i neizbrisivi mediji za čuvanje podataka (engl. Immutable and Indelible Storage)
8. Redovno testiranje i validacija
9. Edukacija zaposlenih i korisnika (da ne klikću gde ne treba i ne otvaraju šta ne treba) :)
10. Plan akcije za slučaj sajber napada
11. Brzi oporavak - imati pripremljen plan i uvežbati

O tome šta da se radi, ako vas „snađe" ova nevolja, u sledećem postu ispod.

*** Post 2/2 ***

Šta da se radi, ako vas „snađe" ransomware nevolja?


[Ovaj tekst sam na LinkedInu objavio jednog petka. Neko će se možda zapitati zašto ovo objavljujem u petak pred kraj radnog vremena? Pa simbolično, jer se većina ransomware i sličnih napada desi upravo petkom u pet do pet ili preko vikenda. To je bazirano na iskustvu do sada.]

Ako je vaša organizacija već́ zaražena ransomware-om, ovi koraci mogu pomoći u ograničavanju uticaja:

1. Odmah isključite zaražene računare, laptopove ili tablete sa svih mrežnih veza, bilo žičanih, bežičnih ili mobilnih telefona.
2. U veoma ozbiljnom slučaju, razmislite da li će možda biti potrebno isključiti bežične tj. Wi-Fi mreže, onemogućiti sve veze sa osnovnom tj. centralnom mrežom (uključujući i svičeve) i prekinuti vezu sa Internetom.
3. Resetujte kredencijale - lozinke (posebno za administratorske i druge sistemske naloge) - ali proverite da ne zaključate sisteme koji su potrebni za oporavak.
4. Bezbedno obrišite (engl. wipe) zaražene uređaje i ponovo instalirajte operativni sistem (OS).
5. Pre nego što vratite programe i podatke iz rezervnih kopija, proverite da li nema zlonamernog softvera. Trebalo bi da vraćate programe i podatke iz rezervne kopije samo ako ste veoma sigurni da su rezervna kopija i uređaj sa kojim je povezujete čisti.
6. Povežite uređaje na čistu mrežu kako biste preuzeli, instalirali i ažurirali OS i sav drugi softver.
7. Instalirajte, ažurirajte i pokrenite antivirusni softver.
8. Ponovo se povežite na svoju mrežu.
9. Pratite mrežni saobraćaj i pokrenite antivirusno skeniranje da biste utvrdili da li postoji infekcija.

Ako nemate rezervnu kopiju (engl. backup), potražite kod pouzdanih firmi koje se bave bezbednošću, da li su možda objavljeni alati i ključevi za specifičnu vrstu ransomware-a, kojom su vaši sistemi „zaraženi". Postoje firme, organizacije i agencije se bave ovim problemima i dele svoja saznanja i alate za rešavanje problema. Budite vrlo oprezni u davanju poverenja izvorima sa Interneta, a najbolje da kontaktirate firme sa kojima već imate poslovni odnos ili pouzdane preporuke.


Da li treba da platite otkupninu (engl. ransom)?

Organi za sprovođenje zakona ne savetuju i ne odobravaju, niti dozvoljavaju plaćanje zahteva za otkupninu. Ako platite otkupninu:

• ne postoji garancija da ćete dobiti pristup svojim podacima ili računaru
• vaš računar će i dalje biti zaražen
• plaćaćete kriminalne grupe
• veća je verovatnoća da ćete biti meta u budućnosti.

Napadači će takođe zapretiti objavljivanjem podataka ako se ne izvrši plaćanje. Da bi se suprotstavile ovome, organizacije treba da preduzmu mere da minimiziraju uticaj eksfiltracije podataka.

Pogledajte i raniji tekst Tajni život Vašeg računara.

*****

Napomena: Jedan bloger ovdašnji mi reče:

- Objavi ovaj tekst na blogu. Koristiće mnogima.

- Pa ne pišem i ne dolazim više na blog - rekoh mu.

- Ipak objavi. Ako se bar jedan-jedna spasi od ransomware-a, vredno je - reče on.

I eto.

Ovim nisam pretendovao da dam detaljno, precizno i opširno uputstvo, već samo osnovne smernice. Za više detalja, postoje resursi na mreži, koje lako možete pronaći. 

 *****

 

Atačmenti



Komentari (31)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

Черевићан Черевићан 22:11 04.06.2022

или...или

preventivnost reaktivnih mere

затечени ево ................рачунар пошасти
преузмимо стварност да нас ...не самаре,
па нек'...коТОуме ...крене софтверспасу
(ил' се помиримо исчекујућ' .ransomware)
Dragan Pleskonjic Dragan Pleskonjic 08:17 05.06.2022

Re: или...или

Hvala na javki g. Čer.

Jeste, ovo baš postaje naporno sa tim hakerima i ostalim novatorijama. Neke moje kolege po struci razmatraju alternativne nastavke karijere, a ideje su npr.:

- pisati poeziju i/ili prozu
- igrati šah, golf ili tako neki "lagani" sport
- praviti vino, pivo, peći rakiju.

Šta bi im se moglo preporučiti?
highshalfbooze highshalfbooze 08:36 05.06.2022

Re: или...или

Dragan Pleskonjic
Hvala na javki g. Čer.

Jeste, ovo baš postaje naporno sa tim hakerima i ostalim novatorijama. Neke moje kolege po struci razmatraju alternativne nastavke karijere, a ideje su npr.:

- pisati poeziju i/ili prozu
- igrati šah, golf ili tako neki "lagani" sport
- praviti vino, pivo, peći rakiju.

Šta bi im se moglo preporučiti?


Štagod, samo da čovek upravlja procesom rada a ne elektronika.
Черевићан Черевићан 11:02 05.06.2022

него

Šta bi im se moglo preporučiti?

познајем и таквих
што ...умеју знати,
у књиге ...пиљити
а пића .....циркати
srdjan.pajic srdjan.pajic 11:12 05.06.2022

Re: него

Hvala, Pleki.
angie01 angie01 12:33 05.06.2022

Re: него

srdjan.pajic
Hvala, Pleki.


+1
Dragan Pleskonjic Dragan Pleskonjic 18:21 05.06.2022

Re: него

srdjan.pajic
Hvala, Pleki.


Nema na čemu. Ako nekome pomogne ovo što sam pisao i savetovao, biće mi drago.
cmix909 cmix909 22:05 05.06.2022

Re: него

Черевићан

у књиге ...пиљити
а пића .....циркати



bata_nimbus bata_nimbus 10:51 05.06.2022

Дете прошлог века

Ех. Ово је болна тема за мене. Има пар месеци, придигнем се ја после поподневне дремке, те хајд` да видим шта ради друштво у облаку. Кад оно цврц! Не могу ни да уђем у комп. Тамте-вамте, нема друге него комп у сервис. Мајстор га оправи. Само... све што сам имао сачувано, дословно све, неповратно побрисано. Целокупна архива која богами није (била) мала, грађа коју сам прикупљао, чак и један недовршени роман... Мајстор не зна шта је узрок погрому. Не верује да су хакери, сумња на неки тај вирус. Ту се разочарам и у вољени 360 Тотал.
Лепо је што си поставио ову тему. Млађи треба да је озбиљно прораде. За мене је касно. И да имам воље, ништа не разумем.
predatortz predatortz 18:13 05.06.2022

Re: Дете прошлог века

Ту се разочарам и у вољени 360 Тотал.


Iz nekom mog iskustva, AVG Internet Security se pokazao kao dobra, ne svemoguća, ali prilično dobra zaštita od ove pošasti.

U par napada, kojima je naš deo sajber prostora bio izložen unazad par godina, ni jedan moj klijent koji je imao instsliran i ažuriran taj AV program nije "stradao".

U svakom slučaju, što reče i domaćin, samo pouzdan bekap znači rešenje. Pravite ih što češće, na što više medija koje posle otkačinjite sa mreže i kompova i držite po sefovima i ladicama.

Upamtite - ne postoji višak bekap!
Manjak da, višak ne.

Dragan Pleskonjic Dragan Pleskonjic 18:19 05.06.2022

Re: Дете прошлог века

predatortz
Iz nekom mog iskustva, AVG Internet Security se pokazao kao dobra, ne svemoguća, ali prilično dobra zaštita od ove pošasti.


Moj poznanik Ondrej Vlcek, CEO at Avast će se obradovati kada mu ovo prenesem, a verujem i njegov tim, koji je delom u Srbiji.

AVG Technologies is a subsidiary of Avast.

predatortz predatortz 18:22 05.06.2022

Re: Дете прошлог века

Dragan Pleskonjic
predatortz
Iz nekom mog iskustva, AVG Internet Security se pokazao kao dobra, ne svemoguća, ali prilično dobra zaštita od ove pošasti.


Moj poznanik Ondrej Vlcek, CEO at Avast će se obradovati kada mu ovo prenesem.

AVG Technologies is a subsidiary of Avast.



AVG dugo koristim i sugerišem svima koji hoće da me poslušaju, uz ogradu da svemoguće u toj oblasti ne postoji.
highshalfbooze highshalfbooze 20:33 05.06.2022

Re: Дете прошлог века

Dragan Pleskonjic
predatortz
Iz nekom mog iskustva, AVG Internet Security se pokazao kao dobra, ne svemoguća, ali prilično dobra zaštita od ove pošasti.


Moj poznanik Ondrej Vlcek, CEO at Avast će se obradovati kada mu ovo prenesem, a verujem i njegov tim, koji je delom u Srbiji.

AVG Technologies is a subsidiary of Avast.



Prenesi mu zahvalnost i u moje ime za besplatnu verziju Avasta. Koristim ga najverovatnije od početka.
maksa83 maksa83 21:38 05.06.2022

Re: Дете прошлог века

Upamtite - ne postoji višak bekap!

Postoji dve vrste ljudi - oni koji nemaju bekap, i oni koji misle da imaju bekap.
Dragan Pleskonjic Dragan Pleskonjic 22:31 05.06.2022

Re: Дете прошлог века

maksa83
Postoji dve vrste ljudi - oni koji nemaju bekap, i oni koji misle da imaju bekap.


Ko nije probao da oporavi sistem iz bekapa, verovatno te neće razumeti.

Zato gore postoji jedan korak - akcija: "Brzi oporavak - imati pripremljen plan i uvežbati!"

Preporuka: kvartalno vežbati oporavak sistema iz bekapa.
Atomski mrav Atomski mrav 23:05 05.06.2022

Re: Дете прошлог века

Dragan Pleskonjic
predatortz
Iz nekom mog iskustva, AVG Internet Security se pokazao kao dobra, ne svemoguća, ali prilično dobra zaštita od ove pošasti.


Moj poznanik Ondrej Vlcek, CEO at Avast će se obradovati kada mu ovo prenesem, a verujem i njegov tim, koji je delom u Srbiji.

AVG Technologies is a subsidiary of Avast.



Koristio sam ranije AVG, bio sam vrlo zadovoljan, pa sam prešao na Avast i još sam zadovoljniji.
Atomski mrav Atomski mrav 23:06 05.06.2022

Re: Дете прошлог века

Postoji dve vrste ljudi - oni koji nemaju bekap, i oni koji misle da imaju bekap.


Takođe, ljudi mogu da se podele u dve grupe:
- Oni koji su već gubili podatke
- Oni kojima to samo što se nije desilo
softelectronics_e softelectronics_e 12:48 06.06.2022

Re: Дете прошлог века

bata_nimbus
Ех. Ово је болна тема за мене. Има пар месеци, придигнем се ја после поподневне дремке, те хајд` да видим шта ради друштво у облаку. Кад оно цврц! Не могу ни да уђем у комп. Тамте-вамте, нема друге него комп у сервис. Мајстор га оправи. Само... све што сам имао сачувано, дословно све, неповратно побрисано. Целокупна архива која богами није (била) мала, грађа коју сам прикупљао, чак и један недовршени роман... Мајстор не зна шта је узрок погрому. Не верује да су хакери, сумња на неки тај вирус. Ту се разочарам и у вољени 360 Тотал.
Лепо је што си поставио ову тему. Млађи треба да је озбиљно прораде. За мене је касно. И да имам воље, ништа не разумем.

Sve meni bitne stvari čuvam u nekoliko kopija, od kojih su dve na eksternim hard diskovima.
Ostale dve kopije su na 'klaudu'.
Pre dve do tri godine, ispao mi je jedan eksterni hard disk, naravno, tako se rastresao da nisam mogao više da (mu) pristupim.
Otada imam dve garniture eksternih diskova.
Tako da jedne nikada ne nosim sa sobom.
pecaros pecaros 11:18 05.06.2022

***

Susreo sam se sa ovim zlom pre više od deset godina, kada ga je fasovao moj klijent. Možda u to vreme ransomware još nije bio toliko sofisticiran, pa smo ga se lako rešili. Reinstaliran je Windows, kao i moj program (za knjigovodstvo) sa podacima.

Njegova sreća je što je relativno često radio arhiviranje podataka na eksternu memoriju, što je relativna retkost, jer većinu ljudi ne možeš ubediti da to rade dok im se ne desi neka katastrofa na računaru.

Inače, (u)cena za otključavanje je bila 10 000 Eur.
crossover crossover 21:40 05.06.2022

Re: ***

pecaros
Njegova sreća je što je relativno često radio arhiviranje podataka na eksternu memoriju, što je relativna retkost, jer većinu ljudi ne možeš ubediti da to rade dok im se ne desi neka katastrofa na računaru.


Мојим клијентима је ускраћен тај луксуз да сами одлучују да ли ће да праве бекап, знајући какве им све лудости падају на памет само ми фали још да им дозволим демократско одлучивање о тако критичним стварима. Свима је подешен аутоматски бекап што кроз базу што кроз код, чак и базине логове им бекапујем због којекаквих далабанера којима никаква обука не помаже.
pecaros pecaros 11:55 09.06.2022

Re: ***

crossover
pecaros
Njegova sreća je što je relativno često radio arhiviranje podataka na eksternu memoriju, što je relativna retkost, jer većinu ljudi ne možeš ubediti da to rade dok im se ne desi neka katastrofa na računaru.


Мојим клијентима је ускраћен тај луксуз да сами одлучују да ли ће да праве бекап, знајући какве им све лудости падају на памет само ми фали још да им дозволим демократско одлучивање о тако критичним стварима. Свима је подешен аутоматски бекап што кроз базу што кроз код, чак и базине логове им бекапујем због којекаквих далабанера којима никаква обука не помаже.


Oduvek sam radio sam, pa mi je briga oko održavanja sopstvenog programa sasvim dovoljna - hardver i sistemski softver sam ostavljao drugima, i oni treba od nečega da žive. Svim korisnicima sam pokazao u suštini jednostavan postupak kreiranja bekapa baze (najčešće se to svodilo na jedan klik mišem i umetanje eksterne memorije), i molim lepo. Većina mojih klijenata su agencije za knjigovodstvo, odgovornost prema sebi i sopstvenim klijentima se podrazumeva.

Inače, za automatski bekap vezujem jedan od većih gafova koji mi se desio u poslu. Jedna od mojih agencija je godinama koristila usluge svog dobavljača hardvera (i sistemske podrške), koji je instalirao taj neki program za automatski bekap.

Kada je, posle nekog dužeg perioda, došlo vreme da se iz tog bekapa odvadi nešto što se zagubilo, ispostavilo se da od bekapa nema vajde - da li zbog pogrešnih parametara ili nečeg drugog, tek, softver je zapamtio inicijalnu strukturu podataka, pa je ignorisao sve novopridošle foldere koji se tokom vremena masovno formiraju. Na taj način, bekap je postao potpuno neupotrebljiv. Sreća, pa je kurcšlus bio ograničenog opsega, pa ni šteta nije bila velika.
predatortz predatortz 18:29 05.06.2022

Kad smo u temi...

Da kažemo kako se najčešće pokupi. Poslednji, meni poznati, napadi na teritoriji Srbije, dolazili su sa fejk adresa banaka ili izvršiteljskih agencija, u atačmentu su imali dokument, čak sa ćiriličnim nazivom, tipa izvod ili opomena pred utuženje.

Većina prosečnih korisnika će na to kliknuti bez razmišljanja.
Dragan Pleskonjic Dragan Pleskonjic 18:38 05.06.2022

Re: Kad smo u temi...

Da, često napadači računaju na izazivanje straha od autoriteta (direktora ili šefa, državnog organa, banke i slično), pokušavajući da pokrenu primaoca na brzu i nesmotrenu reakciju.

Trude se da email i priloženi dokumenat izgledaju autentično, a uz to pokušavaju da iskoriste adrese pošiljaoca, firmu-instituciju, logotipe koji stvarno postoje ili ih modifikuju da to bude što neprimetnije.

Kada se dokumenat koji je priložen uz email ili link otvori, onda se pokreće mehanizam.
Atomski mrav Atomski mrav 23:14 05.06.2022

Re: Kad smo u temi...

Da, često napadači računaju na izazivanje straha od autoriteta

Takođe, takvi mailovi su uvek urgentni - ako ne potvrdite identitet/pošaljete odgovarajuće podatke klikom na donji link/detalji su u attachment-u bićemo prinuđeni da Vam zatvorimo račun u banci/izbacimo dete iz škole/konfiskujemo stan...

Ima i ona varijanta sa linkovima i attachment-ima sa lascivnim sadržajima... vole ljudi to da klikću. Ovo nije bio phishing ni ransomware, ali tamo početkom 2000-ih su mi korisnici redovno blokirali svoje mail naloge pokušavajući jedni drugima da pošalju Severinin pornić mail-om (limit bio možda nekih 100 MB)...
Dragan Pleskonjic Dragan Pleskonjic 10:00 06.06.2022

Re: Kad smo u temi...

Atomski mrav
Takođe, takvi mailovi su uvek urgentni - ako ne potvrdite identitet/pošaljete odgovarajuće podatke klikom na donji link/detalji su u attachment-u bićemo prinuđeni da Vam zatvorimo račun u banci/izbacimo dete iz škole/konfiskujemo stan...

Ima i ona varijanta sa linkovima i attachment-ima sa lascivnim sadržajima... vole ljudi to da klikću.


Tačno tako! Uglavnom "potežu" urgentnost i brzinu, a ciljaju na strah, paniku, znatiželju, pohlepu i slična osećanja i strasti. Čim postoji nešto od ovoga, odmah treba otvoriti "četvore oči".

Jedan od indikatora su gramatičke i pravopisne greške, pošto često koriste automatske prevodioce za razne jezike. Doduše, u novije vreme, ima i onih vrlo pažljivo napisanih, gde su se dodatno potrudili za lokalno "tržište".
NNN NNN 22:21 07.06.2022

Re: Kad smo u temi...

phishing
Sećam se jednog od prvih većih phishnig napada u firmi, ono toliko jadno i za najraniji gugl translejt, sa tekstom tipa "nigerijska prevara", bukvalno smešno, ali nikada ne smete da potcenjujete najslabiju kariku u svakom bezbednosnom sistemu - ljudski faktor (u konkretnom slučaju čitajte glupost).
I onda pošaljemo korisnicima neke najjednostavnije savete:
ne otvarajte mailove od nepoznatih pošiljalaca,
ako ste otvorili - ne klikćite na linkove,
ako ste već kliknuli - ne ostavljajte kredencijale,
i kao što to uvek biva, bilo je više slučajeva koji su uradili tačno suprotno od onoga što im je savetovano (jedan kolega iz IT sec. je imao dobar predlog - da se takvima za početak skine 10% od plate, nažalost nije uzeto u razmatranje), mislim ništa strašno se nije desilo, takvima su odmah resetovane lozinke koje su koristili, ali ne mogu da zaboravim jedan "biser", neki "rukovodilac starog kova pred penzijom" koji ne samo da se upecao, nego je to phishing botu otpisao u oštrom tonu nešto tipa "slušajte druže, otkud vama pravo da tražite to i to..."


Vremenom bilo je i prilično uverljivih phishing napada (za naivnije korisnike), ali sam prijatno iznenađen koliko se podigla svest i kod korisnika od kojih se to realno baš i ne očekuje.
Atomski mrav Atomski mrav 08:03 08.06.2022

Re: Kad smo u temi...

Zato postoje kursevi na temu "Kako prepoznati (spear) phishing i kako pravilno odreagovati", a mnoge firme testiraju zaposlene tako što šalju sopstveni phishing mail sa linkom ili Excel fajlom u attachment-u koji sadrži makro koji ti kaže "Gotcha!" ili nešto slično. I stigne mi u bivšem preduzeću tako jedan mail sa Excel fajlom u attachment-u, ništa sumnjivo na prvi pogled, firma je organizovala takmičenje svake godine kada bi se održavalo SP ili EP u fudbalu, dobiješ Excel fajl sa svim parovima u grupnoj fazi takmičenja, popuniš rezultate, dobiješ parove osmine/četvrtine finala i tako dalje... oni koji dobiju najviše poena za najviše pogodaka dobiju neke nagrade. Tekst u mailu je bio dugačak i dosadan za čitati (k'o fol poslat od strane CEO firme), ja nisam imao vremena da čitam ni da otvaram Excel fajl, a kasnije tog dana je stigao drugi mail (ovoga puta pravi) od CEO u kome se objašnjava da je onaj prethodni mail bio phishing exercise te da je svega nekoliko zaposlenih provalilo šta se dešava i prijavilo mail IT službi a da se prilično veliki broj ljudi upecalo i otvorilo attachment. Zatim je navedeno koji su bili znaci prepoznavanja - greška u mail adresi, reply to adresa koja se razlikuje od sent from adrese, a najjači deo je bio nešto u stilu: "Uostalom, svi koji me znaju, znaju da ne navijam za ABC nego za XYZ". Burazeru, jedva znam kako se zoveš a ne za koji fudbalski tim navijaš...
Dragan Pleskonjic Dragan Pleskonjic 13:57 06.06.2022

Još malo o bekapu, stepenu rizika i slično

Pravljenje rezervne kopije vaših podataka jedna je od najboljih bezbednosnih mera. Međutim, ponekad i rezervne kopije podataka mogu biti zaražene od strane ransomware-a zajedno sa podacima koje bi trebalo da štite. To je posebno nezgodno za online rezervne kopije ili kada je ransomware tu dok radite bekap.

Zato treba imati nekoliko rezervnih kopija u različitim trenucima tj. periodima, ako neka od skorašnjih bude zaražena.

Postoji takozvano 3-2-1 bekap pravilo:

3: Napravite jednu primarnu rezervnu kopiju i još dve dodatne kopije vaših podataka.
2: Sačuvajte svoje rezervne kopije na dve različite vrste medija.
1: Čuvajte najmanje jednu rezervnu kopiju na drugoj fizičkoj lokaciji.

Ovo pravilo se odnosi ne samo na ransomware, nego i na druge situacije (požar, poplava, zemljotres ili druga veća nedaća ili masivni kvar).

Ako radite u firmi koja ima sektor za računarsku bezbednost, a vi niste taj koji je direktno zadužen, neko će već sve to isplanirati i naterati vas da poštujete pravila.

Sada malo o stepenu rizika.


Koga najčešće i najviše napadaju hakeri? Matematika je relativno jednostavna i često se svodi na dve skraćenice: LHF i HVT.

Vrlo pojednostavljeno, dva su kriterijuma po kojima se hakeri primarno odlučuju za napad:

LHF – Low Hanging Fruit – "Voće koje se može lako obrati (sa zemlje)", odnosno niste adekvatno zaštićeni i lak ste plen.
HVT – High Value Targets – Ciljevi visoke vrednosti odnosno ono što donosi veliku dobit u materijalnom ili drugom smislu.

Ako ste u preseku ova dva skupa, onda ste u velikoj opasnosti. Drugim rečima: imate vrednu [digitalnu] imovinu ili nešto drugo što je interesantno (engl. assets), a ne štitite se na odgovarajući način i hakeri se nje mogu lako domoći, ne ulažući puno truda i resursa. Po mom iskustvu, ovo važi u preko 80% slučajeva.

Ostali slučajevi su brojni i raznovrsni, ali ređi. Navešću samo jedan: vi ste povezani (poslovno ili drugačije) sa nekim entitetom (ili licem) koji spada u jednu ili obe gornje kategorije. Onda možete biti iskorišćeni kao posrednik (engl. proxy) za napad na taj entitet. Toga možda nećete biti ni svesni.

Zato uradite procenu rizika i adekvatno se zaštitite. Ako nemate iskustvo, znanje ili resurse, pozovite nekoga ko ima ili se specijalizuje za tu oblast.

Napomena:
Ovo je post za one koji nisu profesionalci u oblasti računarske i informacione bezbednosti. Kolege iz struke, pak, mogu dodati svoje primere i iskustvo u komentarima. Biće korisno da pomognemo ljudima da se zaštite.

trala.la trala.la 08:00 09.06.2022

Re: Još malo o bekapu, stepenu rizika i slično

Dragan Pleskonjic
Pravljenje rezervne kopije vaših podataka jedna je od najboljih bezbednosnih mera. Međutim, ponekad i rezervne kopije podataka mogu biti zaražene od strane ransomware-a zajedno sa podacima koje bi trebalo da štite. To je posebno nezgodno za online rezervne kopije ili kada je ransomware tu dok radite bekap.

Zato treba imati nekoliko rezervnih kopija u različitim trenucima tj. periodima, ako neka od skorašnjih bude zaražena.

Postoji takozvano 3-2-1 bekap pravilo:

3: Napravite jednu primarnu rezervnu kopiju i još dve dodatne kopije vaših podataka.
2: Sačuvajte svoje rezervne kopije na dve različite vrste medija.
1: Čuvajte najmanje jednu rezervnu kopiju na drugoj fizičkoj lokaciji.

[...]


Dok sam radio tu vrstu posla imao sam običaj da pojedinim korisnicima ispričam priču o tome šta je dobar backup.

"Elem, kada je srušen Twin Tower u NY, zadesilo se da je u jednoj od zgrada, negde bliže vrhu, bio neki naš srbin koji je radio za neku japansku finansijsku organizaciju. Njima su odmah rekli da ne brinu, da je avion udario u drugu zgradu i da oni nisu u opasnosti. Međutim, on čovek došao iz Srbije, sa iskustvom ratnog područja i pravo na vrata i dole, niz stepenice.

No, bez obzira na hitrost, u međuvremenu se napravi gužva na stepenicama, moguće je da je i u njihovu zgradu tada već udario drugi avion. Tu ga negde nekako stigne i njegov šef japanac, stariji čovek. Kako je ovaj naš bio mlad, snažan, japanac ga uhvati za ramena i sve vreme za njim, navijajući i hrabreći ga da nastavi da se probija napolje. Uspeju oni nekako da izađu iz zgrade koja se nedugo zatim i sruši, a oni, onako zabezeknuti, odu svako svojoj kući.

Uveče ga pozove taj šef japanac, pita ga kako je i više puta mu se zahvaljuje jer mu je ovaj naš na neki način spasao život. Onda mu kaže da sutradan ili beše prekosutra dođe na novu lokaciju, firma je uspela da obezbedi novi prostor, u toku noći će instalirati novu opremu i oni nastavljaju sa radom. E, to je dobar backup."

Ovo sam, mislim, čitao u štampi svojevremeno i pitaj Boga da li je istina, a moguće je i da sam malo i iskarikirao vremenom - no, poslužilo je svrsi. :)
Dragan Pleskonjic Dragan Pleskonjic 08:23 09.06.2022

Re: Još malo o bekapu, stepenu rizika i slično

trala.la
Uveče ga pozove taj šef japanac, pita ga kako je i više puta mu se zahvaljuje jer mu je ovaj naš na neki način spasao život. Onda mu kaže da sutradan ili beše prekosutra dođe na novu lokaciju, firma je uspela da obezbedi novi prostor, u toku noći će instalirati novu opremu i oni nastavljaju sa radom. E, to je dobar backup."


Japanci imali dobro planiranje održanja kontinuiteta posla i oporavka od nesreća (engl. business continuity planning and disaster recovery).

Mnoge firme o tome ne vode računa, iako studenti uče tokom studija, npr. poglavlje 15 u ovoj našoj knjizi.
Dragan Pleskonjic Dragan Pleskonjic 13:51 08.06.2022

Pariz zove

Ako ste, kojim slučajem, u Parizu 23. juna ove godine, svratite na skup na kome ću govoriti:

Closing Gaps in Cyber Resilience

Kažu da će biti odlična francuska hrana.

Arhiva

   

Kategorije aktivne u poslednjih 7 dana