Top Categories

Spotlight

todaymárcius 27, 2020

Uncategorized @hu Sandor Feher

Távmunka IT biztonsági kérdőív

A karanténhelyzet talán egyik legérdekesebb hozadéka az otthoni munkavégzés kiterjesztése. Akik eddig is dolgoztak otthonról, azoknál egyszerűbb lehetett – de még ott sem biztos, hogy az IT felkészült a teljes cég távoli munkavégzésének biztosítására. Vajon megfelelőek a biztonsági intézkedések a kiadott laptopoknál? Tudják a dolgozók, mit tegyenek, ha otthon dolgoznak, [...]

Top Voted
Sorry, there is nothing for the moment.


Incidens-reagálási szolgáltatások

A White Hat gyors reagálást és teljeskörű incidenskezelést egyaránt végez, így a zsarolóvírus-támadások és bármely fenyegetettség elhárításában gyors és hatékony segítséget nyújt – biztosítva hálózata biztoságát és hosszú távú védettségét.

check Zsarolóvírus- és incidens-reagálás

check Digitális nyomrögzítés, forensics és okfeltárás

check Hosszútávú védettség biztosítása

Adatvédelmi incidens esetén az észleléstől számított 72 órán belül jelenteni kell az esetet a hatóságoknak! Segítségre van szüksége? Hívjon minket!


Kérjen segítséget

Szolgáltatás részletei

Csökkentse bármilyen támadás lehetséges hatását és tartsa kézben kockázatait

Rutinos incidens-reagálóink évtizedes tapasztalatukkal, a támadói csoportokról szerzett átfogó ismereteikkel és kifejezetten erre a célra kifejlesztett eszközeik segítségével segítenek csapatának és szervezetének kezelni, kézben tartani és megoldani kiber incidenseit.



Szolgáltatások

Zsarolóvírus-reagáló és incidens-kezelési szolgáltatásaink

Az üzletement leállása és a partnerek bizalmának elvesztése az egyik legkomolyabb negatív hatása egy zsarolóvírus-támadásnak – ezért fontos, hogy gyorsan, és hatékonyan de biztonságosan segítsünk helreállítani az ügymenetet. Ezalatt nincs idő mély szintű elemzésekre és oknyomozásra – utána viszont elengedhetetlen. A helyreállítás során gyűjtött adatok analízise és a támadási TTP-k mély szintű ismerete révén hatékonyan találjuk meg az okokat – és menedzselt megoldásaink és szolgáltatásaink segítségével jelentősen csökkentjük az újra előfordulás esélyét.


Incidens-reagálás 6 lépésben

Az incidens-reagálás az a struktúrált és jól felépített folyamat, amellyel a szerezetek a kiber-biztonsági incidensek meghatározását és kezelését végzik. Ez a folyamat több szakaszra bontható, amelyek az alábbiak:

  1. Felkészülés az incidensekre
  2. Észlelés és elemzés
  3. Elkülönítés
  4. Eltörlés
  5. Teljes helyreállás
  6. Utókövető elemzés, konzekvenciák

Keressen minket
Zsarolóvírus

Tudjon meg többet a zsarolóvírusokról

Információbiztonsági szakértőink kibertámadásokról szérzett tapasztalata és a biztonsági standardokról és legjobb gyakorlatokról meglévő tudása biztosítja, hogy kulcsfontosságú rendszerei hatékonyan álljanak ellen bármilyen ismert és új támadási technikának. A zsarolóvírus-típusú incidensek kezelése és elhárítása terén szerzett gyakorlatunk során célunk a gyors és biztonságos helyreállítás, és partnereink hosszútávú védelmének biztosítása.


Mi a zsarolóvírus?

A zsarolóvírus olyan rosszindulatú kód, amelyet kiberbűnözők használnak arra, hogy pénzt zsaroljanak ki személyektől, cégektől vagy szervezetektől. Manapság a zsarolóvírus kifejezést szitne kizárólag olyan programokra használják, amely titkosítja az áldozat gépein lévő hozzáférhető adatokat, és pénzt kér tőlük az adatok visszaállításához (dekriptálásához) szükséges feloldókulcs átadásáért.

Ha ez nem lenne elég, a zsarolóvírus-csoportok nem csak hozzáférhetetlenné teszik az adatokat, hanem az érzékenyebbnek tartott adatállományokról másolatot is készítenek, és áldozataikat ezen adatok nyilvánossá tételével zsarolják, hogy még több pénzt szerezzenek tőlük.

Hogyan történnek ezek a támadások?

KEZDETI HOZZÁFÉRÉS. A támadások első lépése a hozzáférés megszerzése. Ez általában csendben, feltűnés nélkül zajlik; a legtöbb támadás sikerességéhez szükséges első bejutás a hálózatba általában visszavezethető egy adathalász támadásra, egy nyilvánosan elérhető eszközön használt gyenge azonosítóra vagy egy korábban kikerült felhasználói fiókra. Ezek az események nem ritkán a tényleges zsarolóvírus elindítása előtt hónapokkal történnek, míg a szervezet teljes kompromittálása már van, hogy órák alatt végbemegy.

JOGOSULTSÁG-EMELÉS. Miután a zsarolóvírus operátorok bejutottak egy gépre az áldozat rendszerében, elkezdenek keresni egy minél magasabb jogosultságú, kiemelt felhasználót, például egy domain adminisztrátorit. Jellemzően nyilvánosan elérhető támadó (red teaming) eszközöket vagy kereskedelmileg elérhető programok kalózverzióját használják ezen kiemelt fiókok hitelesítő adatainak begyűjtéséhez. Ha ezeket megszerezték, a következő taktikák következnek:

  • oldalirányú (laterális) terjeszkedés a hálózatban, hogy megtalálják az érzékeny adatokat, adattárakat, biztonsági mentéseke, kritikus rendszerelemeket, és egyéb céges hozzáféréseket;
  • minél nagyobb mennyiségű érzékeny adat kiszedése a hálózatból, hogy minél magasabb lehessen a váltságdíj;
  • minél több géphez és eszközhöz hozzáférés szerzése, hogy végül minél nagyobb felületen tudják egyszerre indítani a zsarolóvírust, így a lehető legkártékonyabbá tegyék a támadást.

Mire számítson, aki zsarolóvírus-támadás áldozata lett?

ÉSZLELÉS. Mire egy rendszerben észlelhető a zsarolóvírus-támadás, addigr jó eséllyel az üzletmenet jelentős része leállt. A termelés – a hátterét biztosító szerverek és adatbázisok megtámadása miatt – leáll, és senki nem fér hozzá a céges levelezéshez. A munkaállomások nem működnek, a közös meghajtókon és tárhelyeken csak titkosított fájlok láthatóak, és a különböző gépekre a bejelentkezés sikertelen, mert a domain szolgáltatások leálltak és nem indulnak újra. Ha a támadók megtalálták a biztonsági mentéseket, akkor már azok sem érhetőek el.

ADATLOPÁSRA KELL SZÁMÍTANI. Azt kell feltételezni, hogy a támadók nem csak titkosítottak minden adatállományt, ennek összes negatív hatásával együtt; hanem el is lopták a céges adatokat, és később magasabb árat akarnak majd kizsarolni azért, hogy nem hozzák nyilvánosságra az érzékeny adatokat. Mivel a támadás előkészítésekor a lehető legmagasabb szintű hozzáférést szerezték meg, arra kell számítani, hogy nem fogják egykönnyen feladni ezeket a fiókokat és a szervezethez való hozzáférésüket. Az érintett eszközök jelentős része csak áldozat, de egyik-másik még mindig tárol és futtat rosszindulatú programokat, amelyeken keresztül a támadók kedvükre kapnak hozzáférést – és ezek megfelelő eltörlése és eltávoíltása nélkül bármikor viszajönnek.

HOSSZAS HELYREÁLLÍTÁS. Meg lehet próbálni egyezkedni a támadókkal, de még ha fizet is az áldozat, akkor sincs garancia semmire. Amíg náluk vannak az adatokat, bármikor kérhetnek érte váltságdíjat. Még ha adnak is feloldókulcsot a titkosításhoz, korántsem biztos, hogy megfelelően működik. Végső soron bármikor kiadhatják az ellopot adatállományt, függetlenül attól, ki lettek-e fizetve. A helyreállítási folyamat hosszú és nyögvenyelős lesz, költséges döntésekkel tarkítva. A mi javaslatunk az, hogy ne fizessen a bűnözőknek.

UTÓHATÁSOK. Ha a legnehezebb részeken már túl van a szervezet, akkor is számítani kell oylan következményekre, amik könnyen újabb támadáshoz vezethetnek ugyanabban a hálózatban, vagy valamelyik partnere hálózatában. A sikeres támadás miatt a támadóknak rendelkezésére álltak mind a céges adatok (amelyek potenciálisan a partnerekről is tartalmaztak információt), mind a munkavállalók email címe, hozzáférési adatai és teljes levelezése is. Ezek nagy valószínűséggel kiváló alapot adnak adathalász támadásokhoz a kollégák és a partnerek ellen, az ellopott személyiségek és email formátumok felhasználásával.

Mit tehetnek az áldozatok?

KÉRJENEK SEGÍTSÉGET. A támadás észlelését követő első lépések kulcsfontosságúak: a mi javaslatunk az, hogy vonjanak be incidens-reagálásban jártas kollégát vagy külsős szakértőt. Szükséges, többek között, felállítani a „mentőcsapatokat” akik részt vesznek az incidens kezelésében; meghatározni a parancsnoki láncot; kijelölni a kommunikációs csatornákat a krízis esetére; értesíteni a munkavállalókat az incidensről bármely módon, ahogy elérhetőek; egyértelmű utasításokat és feladatlistát adni nekik (pl. ne kommunikáljanak az esetről, mit használjanak / ne használjanak), és hozzáférést biztosítani nekik a szükséghelyzetben használandó kommunikációs csatornákhoz. Az ökölszabály az, hogy a hálózati hozzáféréseket le kell tiltani, és a kikapcsolt eszközöket nem szabad visszakapcsolni a további vizsgálatokig.

NE FIZESSENEK. Az, hogy belemennek-e a bűnözőkkel tárgyalásba, és kifizetik-e a váltságdíjat, végső soron az áldozat döntése. Mi egyértelműen és nyomatékosan javasoljuk azonban, hogy ne fizessenek, mivel abszolút nincs garancia arra, hogy a másik fél is tartja magát a megegyezéshez (pl. Odaadják a feloldókulcsot, nem hoznak nyilvánosságra adatokat, nem fertőzik őjra meg a hálózatot, nem adják tovább más bűnözői csoportoknak a megszerzett adatokat és hogy hogy jutottak be). Ráadásul a megfizetett váltságdíj csak tovább növeli az ilyen csoportok rendelkezésére álló dollármilliókat, amellyel a jövőben újabb és egyre kifinomultabb támadásokat finanszírozhatnak.

KÜLÖNÍTSENEK EL. Egy sikeres zsarolóvírus-támadás hatása nagyban függ attól, hogy a szervezet milyen mentéseket készített az adatállományásól vagy annak egy részéről, és hogy ezek a mentések megúszták-e a fertőzést. El kell különíteni azokat a tárhelyeket, amelyeken tiszta (fertőzésmentes) adatok és mentések vannak, mert a működés szempontjából kritikus folyamatok helyreállítása ezekkel lesz a leghatékonyabb.

KOMMUNIKÁLJANAK. Nyíltan és őszintén kommunikálni a kollégákkal, partnerekkel, ügyfelekkel és részvényesekkel mindig jó politika – főleg nehézségek idején. Folyamatosan tájékoztatni őket a vizsgálat és a helyreállítás minden lépéséről fárasztónak tűnhet, mi mégis ezt javasoljuk, mert hosszabb távon sokkal jobb eredményt ad. Emellett javasoljuk az adatvédelmi incidens és a bűncselemkény bejelentését a megfelelő hatóságoknak (Magyarországon az adatvédelmért felelős hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság, vagy NAIH).

RANGSOROLJANAK. Meg kell állapítani, melyek azok a működés szempontjából kiemelten fontos elemek, amelyeket előre kell venni a helyreállítás során. Jellemzően az üzletmenet (vagy gyártás) helyreállítása, az alapfolyamatok és az üzleti levelezés újraindítása a legfontosabb, de ezeket pontosan csak a szervezet maga tudja meghatározni. A helyreállítás lépéseit lent még részletezzük.

ELEMEZZENEK. Ha a rendszer ugyanolyan állapotba kerül helyreállításra, amiben a támadás előtt volt, az vagy azt jelenti, hogy a támadóknak még mindig megvan a hozzáférése, vagy legalább azt, hogy ugyanúgy ki tudják használni még egyszer azt a sérülékenységet, amin eredetileg bejutottak. Ezért fontos, hogy forensics szakértők, network forensics elemzők és malware elemzők tapasztalt csapata kövesse vissza a nyomokat addig, hogy megállapthassák az eredeti fertőzéshez vezető okokat. A zsarolóvírus-támadások destruktív természete és a támadók ravaszsága miatt a bizonyítékok sokszor már nincsenek meg, vagy nem helyreállíthatóak; mégis megéri oknyomozásba fektetni. Az ilyen típusú vizsgálatok célja azonban ne a bűnbak-keresés legyen, hanem megtalálni és kijavítani azokat a sebezhetőségeket, amelyeket a támadók megtaláltak és kihasználtak.

VÉDEKEZZENEK. Ha a helyreállítás befejeződött, és újra zavartalan az üzletmenet, akkor ideje arra koncentrálni, hogyan előzhető meg, hogy ilyesmi történjen a jövőben. Ha egy szervezet nem tudja bizonyítani, hogy legalább az alapvető biztonsági intézkedéseket megtették az érintettek náluk lévő adatai védelme érdekében, jó eséllyel bírságra számíthatnak az adatvédelmi hatóságtól, ráadásul még ha van is biztosításuk, az sem fogja fedezni a károkat. Azt sem szabad elfelejteni, hogy az új rendszer nyomás alatt, jellemzően sietősen lett felépítve és üzembe helyezve, ami megnöveli további támadási felületek esélyét. Ezért javasoljuk, hogy mindig ellenőrizzék duplán a konfigurációkat, a nyilvánosan elérhető eszközöket és szolgáltatásokat, és a hitelesítő adatok védelmét. A nagyvállalatok és  KKV-k védelme egyaránt kihívás, ha máshogy is; ráadásul mindenképpen nehéz és repetitív – de még így is szignifikánsan kevesebb anyagi ráfordítást igényel, mint egy zsarolóvírus-támadás vagy egyéb, hasonkó mértékű biztonsági incidens.

A helyreállítás lépései

TISZTA TELEPÍTÉS. Javasoljuk a teljes újratelepítést, függetlenül attól, hogy maradtak-e vannak-e fertőzésmentes biztonsági mentések. A munkaállomásoknál ez ráadásul lehet, hogy kevesebb időt igényel, mint egyesével átvizsgálni és kitisztítani. A szerverek újratelepítése hosszadalmasabb lehet, de a legtöbb szolgáltatást, például a domain szolgáltatásokat és a lokális adatbázisokat úgyis kézzel kell helyreállítani. A virtuális gépek biztonsági image-ből történő visszaállításakor is előfridulhat, hogy ezek futó zsarolóprogramokat vagy más rosszindulatú kódot tartalmaznak – az archiválás időpontjától és a támadás egyes lépcsőinak idejétől függően.

ÁTGONDOLT DÖNTÉSEK. A zsrolóvírus áldozatául esett szervezetek gyakran döntenek úgy, hogy valamelyik felhőszolgáltatóra bízzák az eszközeik vagy adatvagyonuk egy részét a helyreállítás részeként. Az ilyen döntéseket viszont javasoljuk alaposan átgondolni és több szempontból kiértékelni, még akkor is, ha amíg az üzletmenet áll, minden perc drága. Egyes szolgáltatások könnyedén konvertálhatók felhőalapúvá, mint például az email szolgáltatás vagy a közös tárhely. Viszont a legövedelmezőbb vagy legkritikusabb rendszerelemek új platformra helyezése nem biztos, hogy ilyenkor optimális; mert ez megnövelheti a helyreállítást normál használathoz.

Miközben a végpontok és szolgáltatások szépen állnak helyre, továbbra is fontos folyamatosan monitorozni ezeket, és kiszűrni minden gyanúsnak tűnő tevékenységet.

15 372 CÉG ESIK TÁMADÁS ÁLDOZATÁVÁ NAPONTA

Ne legyen Ön a következő – ebben mi tudunk segíteni!


ÍRJON NEKÜNK INGYENES AJÁNLATAINKÉRT

Telefon / Mobil

Email






    Background