Kā pasargāt savu uzņēmumu no izspiedējvīrusiem
Kas ir izspiedējvīruss
Izspiedējvīruss (ransomware) ir ļaunprogrammatūra, kas šifrē tavus failus un pieprasa samaksu par atšifrēšanas atslēgu. Mūsdienu uzbrukumi pirms tam vēl nozog datus un draud tos publiskot, tāpēc samaksa reti atrisina problēmu. Mazam vai vidējam uzņēmumam viena inficēšanās var apturēt darbu, rēķinu izrakstīšanu un klientu apkalpošanu uz vairākām dienām. Labā ziņa: gandrīz katrs veiksmīgs uzbrukums balstās uz dažām novēršamām nepilnībām.
Kā izspiedējvīruss nokļūst iekšā
- Pikšķerēšanas e-pasts ar ļaunprātīgu pielikumu vai saiti.
- Atvērta attālinātā piekļuve, īpaši RDP vai SSH, kas ar vājām parolēm pieejams visam internetam.
- Neatjaunināta programmatūra: VPN vārtejas, ugunsmūri, CMS spraudņi un operētājsistēmas.
- Atkārtoti izmantotas vai noplūdušas paroles bez daudzfaktoru autentifikācijas.
- Kompromitēti piegādātāji vai programmatūras atjauninājumi.
Aizsargājies pa slāņiem
1. Dublē pēc 3-2-1 principa
Glabā trīs datu kopijas uz diviem datu nesēju veidiem, vienu kopiju turot bezsaistē vai nemaināmu un ārpus uzņēmuma. Nemaināmas (immutable) dublējumkopijas uzbrucējs nevar izmainīt vai izdzēst, pat ja piekļūst taviem serveriem. Vismaz reizi ceturksnī pārbaudi pilnu atjaunošanu; dublējums, ko nekad neesi atjaunojis, ir tikai cerība.
2. Atjaunini ātri
Lielākā daļa izspiedējvīrusu izmanto ievainojamības, kas jau sen izlabotas. Ieslēdz automātiskos drošības atjauninājumus un vispirms seko līdzi sistēmām, kas pieejamas no interneta.
3. Ievies MFA un stipras paroles
Pieprasi daudzfaktoru autentifikāciju e-pastam, VPN, attālinātajai darbvirsmai un administrācijas panelēm. Šis viens solis bloķē lielāko daļu ielaušanos ar zagtām parolēm.
4. Ierobežo attālināto piekļuvi
Nekad neatstāj RDP tieši pieejamu. Novieto attālināto piekļuvi aiz VPN, ierobežo avota IP adreses savā Firewall un izmanto SSH ar atslēgām.
5. Filtrē e-pastu un apmāci darbiniekus
Izmanto surogātpasta un pielikumu filtrēšanu un iemāci darbiniekiem ziņot par aizdomīgām vēstulēm. Bloķē vai izolē Office makro, kas nāk no interneta.
6. Segmentē un ierobežo tiesības
Piešķir lietotājiem un pakalpojumiem tikai to piekļuvi, kas nepieciešama. Tīkla segmentācija neļauj vienai inficētai iekārtai sasniegt visus serverus un dublējumus.
Praktiska servera nostiprināšana
# Ubuntu/Debian: ieslēdz automātiskos drošības atjauninājumus sudo apt install unattended-upgrades sudo dpkg-reconfigure --priority=low unattended-upgrades # SSH: pieteikšanās tikai ar atslēgu, atslēdz root un paroles sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config sudo systemctl restart ssh # Firewall: pēc noklusējuma liedz, atļauj tikai vajadzīgo sudo ufw default deny incoming sudo ufw allow 22/tcp sudo ufw enable # Palēnini brutālā spēka uzbrukumus sudo apt install fail2ban && sudo systemctl enable --now fail2ban # Nemaināma dublēšana ārpus uzņēmuma ar restic restic -r sftp:backup@backup.example.com:/srv/backups init restic -r sftp:backup@backup.example.com:/srv/backups backup /var/www /etc
Ja tevi skāris uzbrukums
- Izolē skartās iekārtas: atvieno tīklu, bet neizslēdz, ja nepieciešama izmeklēšana.
- Nosaki apmēru un saglabā žurnālus (logs).
- Ja iespējams, nemaksā; maksājums finansē noziegumu un negarantē datu atgūšanu.
- Pārinstalē sistēmas un tikai tad atjauno no tīriem, pārbaudītiem dublējumiem.
- Nomaini visas paroles un atslēgas.
- Ziņo iestādēm un skartajām pusēm, kā to prasa noteikumi.
NIS2 un GDPR
Ja tavs uzņēmums ietilpst NIS2 tvērumā vai apstrādā personas datus, izspiedējvīrusa incidents visticamāk rada pienākumu ziņot stingros termiņos. Dublējumu un žurnālu glabāšana ES vienkāršo atbilstību un datu suverenitāti. Gan VPS, gan Fiziskie serveri Rīgā ļauj turēt datus Latvijā.
Galvenā atziņa
Uzbrukumu nevar padarīt neiespējamu, taču pārbaudīti bezsaistes dublējumi, ātra atjaunināšana un MFA lielāko daļu izspiedējvīrusu no katastrofas pārvērš par neērtību. Sāc ar dublējumu, ko tiešām esi atjaunojis.
Turpini lasīt
Gatavs sākt?
Palaid dažās minūtēs vai aprunājies ar inženieri par piemērotāko risinājumu.