8. Zidentyfikuj systemy sieciowe wystawione na zewnątrz, uruchamiając skanowanie portów na adresach IP sieci WAN. Zidentyfikuj, które systemy sieciowe wykonują przekierowanie portów na odsłoniętych portach.
9. Zabezpiecz następujące protokoły sieciowe:
SSH
Nie należy udzielać dostępu root, a uwierzytelnianie powinno odbywać się za pomocą certyfikatów, a nie nazw użytkowników. Tylko jeden lub dwóch administratorów powinno mieć dostęp do SSH.
FTP
Unikaj serwerów FTP z lukami w zabezpieczeniach. Unikaj logowania się przy użyciu nazwy użytkownika Anonimowy i bez podawania hasła.
RDP i SMB
Wyłącz domyślne konta użytkowników, takie jak Admin lub Administrator. Zezwalaj na łączność tylko ograniczonej liczbie użytkowników.
VNC
Nie używaj VNC do połączeń ze zdalnym pulpitem.
HTTP
a) Nie używaj słabych lub domyślnych poświadczeń..
b) Często skanuj zainstalowane usługi sieciowe (Django, Python, Java, PHP, WordPress) w poszukiwaniu podatności.
c) Upewnij się, że użytkownicy nie mają dostępu do zmiany żadnego aspektu Twojej witryny.
10. Sprawdź urządzenia IoT lub inne urządzenia sieciowe pod kątem luk w zabezpieczeniach (kamery CCTV, serwery NAS, routery), takich jak słabe hasła, podatne lub nieaktualne oprogramowanie, podatne protokoły sieciowe.
11. Wymuszaj uwierzytelnianie dwuskładnikowe (2FA) w całej firmie, w tym w systemach operacyjnych.
12. Stale monitoruj logi sieciowe dla przychodzących połączeń zewnętrznych i blokuj te adresy IP w zaporze sieciowej.
13. Użytkownicy powinni mieć dostęp tylko do tych zasobów, których potrzebują. Zachowaj szczególną ostrożność podczas udzielania im uprawnień zapisu do zasobów.
14. Ogranicz dostęp do udostępnionych folderów sieciowych w zależności od potrzeb biznesowych.
15. Wyłącz udziały administracyjne.
16. Administratorzy sieci powinni monitorować systemy w czasie rzeczywistym pod kątem podejrzanych zachowań, takich jak wysokie użycie procesora.
17. Zablokuj dostęp do wevtutil.exe i vssadmin, aby uniemożliwić użytkownikom usuwanie logów systemowych lub kopii zapasowych systemu.
Angażowanie pomocy technicznej Bitdefender Enterprise w przypadku infekcji ransomware
Jeśli potrzebujesz pomocy w odzyskaniu plików po ataku ransomware, możesz skontaktować się z pomocą techniczną Bitdefender Enterprise.
Bitdefender przeprowadzi analizę, zidentyfikuje odmianę oprogramowania ransomware i podejmie próbę stworzenia narzędzia do odszyfrowania.
Pamiętaj, że opracowanie narzędzia deszyfrującego dla określonego podtypu oprogramowania ransomware to zazwyczaj długotrwały proces, który ma małe szanse powodzenia. Jeśli jednak uda nam się go utworzyć, zapewnimy natychmiastowe udostępnienie go na stronie Bitdefender Labs.
Aby jak najszybciej przeprowadzić właściwe dochodzenie, prześlij nam następujące informacje:
– BDSysLog. Dowiedz się, jak utworzyć dziennik systemowy Bitdefender tutaj.
– Support Tool log. Jak utworzyć plik logu dowiesz się tutaj.
– Notatka z żądaniem okupu wygenerowana po zaszyfrowaniu. Zwykle jest to plik .txt.
– Logi zdarzeń systemu Windows. Te dzienniki można znaleźć w C:\Windows\System32\Winevt\Logs.
– Kilka zaszyfrowanych próbek. Jeśli to możliwe, para plików zaszyfrowanych i niezaszyfrowanych.
– Szacowana data i godzina wystąpienia ataku.
–
Inne informacje na temat ataku, które Twoim zdaniem są istotne.
Zalecenia
Podczas gdy nasz zespół Antymalware pracuje nad odzyskaniem zaszyfrowanych plików, powinieneś przywrócić systemy w swojej infrastrukturze z kopii zapasowych.
Podejmij następujące działania awaryjne, gdy tylko zostaniesz zaatakowany:
– Zmień hasła użytkowników.
– Zmień konta administratora na inne niż Administrator, jeśli nie są potrzebne.
– Wyłącz udziały administracyjne.
– Zezwalaj na dostęp RDP tylko dla punktów końcowych, które wymagają takiego dostępu zdalnego.
Jeśli uda nam się odzyskać zaszyfrowane pliki, będziesz musiał:
– Przywróć całą infrastrukturę, zachowując zaszyfrowane pliki i notatki z żądaniem okupu w ich oryginalnej lokalizacji, aby umożliwić działanie deszyfratora.
Lub
– Przywrócić system operacyjny, przenosząc zaszyfrowane pliki i notatki z żądaniem okupu do kopii zapasowej, abyśmy mogli tam uruchomić deszyfrator.
Jeśli nie będziemy mogli odzyskać zaszyfrowanych plików, powinieneś przywrócić infrastrukturę swojego systemu z kopii zapasowych.
Inne działania, które możesz podjąć w obliczu ataku oprogramowania ransomware
– Jeśli maszyna wirtualna w sieci jest zainfekowana, a atak trwa, musisz ją odizolować , zawiesić ją, wyłączyć lub wymusić wylogowanie użytkownika.
– Zwróć uwagę na konkretne zachowania, jakie prezentuje atak ransomware. Proces będzie zużywał dużą ilość zasobów procesora.
– Zwróć szczególną uwagę na użytkowników w sieci, ponieważ ten podszywający się pod atakującego będzie zachowywał się dziwnie.
– Użyj niestandardowej aplikacji, która współpracuje z aplikacją chroniącą przed oprogramowaniem ransomware. Ta aplikacja:
a) Wyłączy system, gdy proces zużywa dużą ilość zasobów procesora (>70%).
b) Wyśle powiadomienie do administratora IT dotyczące nadmiernego obciążenia procesora, które będzie zawierać nazwę aplikacji korzystającej z dodatkowych zasobów oraz nazwę maszyny wirtualnej, która korzystała z takiego zasobu.
c) Zamknie system, gdy produkt nie chroni już środowiska (nie jest już uruchomiony na tym komputerze — ostatnia aktualizacja zawartości zabezpieczającej trwa dłużej niż 2 godziny lub główny proces epsecurityservice.exe nie jest uruchomiony).
d) Odmówi wykonania dowolnej aplikacji z wyjątkiem kilku często używanych..
Źródło: https://www.bitdefender.com/business/support/en/77209-343023-protecting-from-ransomware.html