Coraz częściej problemem dla firm jak i zwykłych użytkowników stają się wirusy szyfrujące nasze dane. Przestępcy, którzy zajmują się tym procederem żądają od użytkowników opłaty za odszyfrowanie danych. Regulując taką należność nie mamy pewności czy otrzymamy poprawny klucz do odszyfrowania naszych plików. Jak się dobrze zabezpieczyć przed utratą danych?
Wirusy szyfrujące bardzo często znajdują się w plikach, które są załącznikami do poczty elektronicznej, która zostaje do nas wysłana. Może to być np informacja o fakturze, lub liście przewozowym od firmy kurierskiej. Należy zwrócić uwagę z jakiego adresu pocztowego taka wiadomość została wysłana. Bardzo ważne jest podejrzenie nagłówków wiadomości, bo tam będzie widoczny prawdziwy adres z którego przyszła do nas poczta. Jeżeli nie znamy adresata to nie otwieramy takich załączników, a wiadomość najlepiej usunąć ze skrzynki pocztowej. Co się stanie jeżeli jednak otworzymy taki załącznik? Jeżeli mamy na komputerze zainstalowane oprogramowanie antywirusowe, które ma aktualne bazy wirusów możemy liczyć, że program antywirusowy nas ochroni przed zaszyfrowaniem danych. Zalecałbym tu zakup licencji renomowanych producentów takiego oprogramowania, jak np.: ESET, G Data, Symantec, Bitdefender, Kaspersky, Avast. Instalując oprogramowanie antywirusowe w swojej firmie zalecałbym również instalację modułu zarządzającego wszystkimi komputerami na których jest zainstalowany antywirus. Wymaga to zakupu odpowiedniej licencji. Moduł taki może być zainstalowany zarówno na dedykowanym do tego serwerze, jak również może to być gotowa maszyna wirtualna, którą można poprać ze strony producenta oprogramowania antywirusowego. Niektórzy producenci dają również możliwość zarządzania takimi licencjami w chmurze. Kolejną bardzo ważną rzeczą jest aktualizacja systemu operacyjnego. Producenci systemów operacyjnych wypuszczają co jakiś czas aktualizacje swojego oprogramowania np. zabezpieczają wykryte luki, przez które może być wpuszczone do systemu złośliwe oprogramowanie.
Kolejnym krokiem w zabezpieczeniu sieci przed atakami jest zakup urządzenia UTM (Unified Threat Management). Są to urządzenia, które mają wbudowane filtry monitorujące ruch sieciowy. Mamy duże doświadczenie z pracą z urządzeniami FORTINET (przykład innych producentów: Cisco, Checkpoint, Sophos, SonicWall, Stormshield, WatchGuard, Palo Alto). Stosując takie urządzenia mamy dużo mniejsze prawdopodobieństwo zainfekowania naszego sprzętu złośliwym oprogramowaniem.
Przedsiębiorstwom dysponującym większym budżetem, zalecam zakup oprogramowania SIEM (Security Information and Event Management). Jest to narzędzie, za pomocą którego możemy zbierać logi z oprogramowania i urządzeń, porównywać je z logami archiwalnymi oraz proponować mechanizmy reagowania na zagrożenia. Producenci np.: FortiSIEM, polski SIEM ADS (Attack Deception System) firmy STM Solutions, Symantec SIEM, Cisco SIEM.
Codzienne robienie kopii zapasowej. Należy zwrócić uwagę, że jeżeli wirus szyfrujący zainfekuje nasz komputer, to skorzysta z naszych uprawnień i zacznie szyfrować dane również na dyskach sieciowych, do których mamy dostęp. Mogą to być również dyski z kopią zapasową. Jeżeli robimy kopie zapasowe wbudowanym narzędziem systemu Windows to bardzo ważne jest ustawienie odpowiedniej konfiguracji. Nie zalecam robić kopii zapasowych na udostępniony zasób sieciowy, jak również nie zalecam robić kopii zapasowych na współdzielony zasób sieciowy. Administratorzy często robią kopie sieciowe na urządzenia NAS (np. QNAP, Synology). Nie jest to drogie rozwiązanie i wygodne w obsłudze, dlatego jest wybierane. Przy wyborze takich urządzeń zalecałbym, żeby miało możliwość podłączenia zasobu sieciowego do systemu operacyjnego po iSCSI oraz możliwość robienia snapshot’ów. Należy również przekalkulować ilość potrzebnego miejsca na kopie zapasowe oraz miejsca na przechowywane snapshot’y. Liczbę przechowywanych snapshot’ów należy dobrze przemyśleć. Podam przykład: snapshot’y robimy raz na dobę, w naszym przykładzie niech będzie to godzina 0:00. Wirus szyfrujący zaczął nam szyfrować dane o godzinie 23:00. Snapshot zrobiony o godzinie 0:00 będzie miał już zaszyfrowane dane. Trzymając tylko jeden snapshot nie zabezpieczymy się przed utratą danych. Załóżmy, że trzymamy dwa snapshot’y, a nasza firma pracuje od poniedziałku do piątku. Wirus zaczyna szyfrować w piątek o godzinie 23:00. Przychodząc do pracy w poniedziałek wszystkie snapshot’y z macierzy będą zawierały zaszyfrowane dane. Opisując te przykłady pokazuję jak ważne jest stworzenie przemyślanej konfiguracji urządzeń. Podobnie mamy w macierzach na których przechowujemy dyski maszyn wirtualnych. Korzystając ze snapshot’ów, możemy bardzo szybko przywrócić całe środowisko do pracy, nawet jeżeli będziemy mieli zaszyfrowane dyski z kopiami zapasowymi. Robiąc kopie zapasowe zalecam ich dodatkowe kopiowanie np. na biblioteki taśmowe (w tym przypadku jest możliwość wyniesienia raz na jakiś określony okres czasu kopii danych z firmy i przechowywania ich np. w skrytce bankowej) lub kopiowanie zarchiwizowanych danych do wykupionych przestrzeni dyskowych w chmurze (takie usługi świadczą np. Google, Amazon, Microsoft Azure). Dla użytkowników domowych zalecałby robienie kopii zapasowych na urządzeniach, które nie są na stałe podłączone do komputera, tylko odłączane po wykonaniu archiwizacji danych.
