Debería haber una cita gastada de Nietzsche sobre la fuerza, pero no la escribimos.
Un día, esto le puede pasar a todos los administradores de sistemas: viene a trabajar por la mañana, verifica la infraestructura y descubre que en el servidor de archivos, en lugar de los datos del usuario, hay un archivo y un archivo de texto que exigen un rescate. Qué hacer, cómo vivir y cómo prevenir la recurrencia, entendemos este artículo.
Se considera un caso que le sucedió a la infraestructura de una empresa que está construida en una PC con Windows. Entonces, nuestro héroe descubrió por la mañana que en el servidor de archivos, en lugar de los archivos de usuario, el archivo data.zip y readme.txt. El archivo estaba protegido con contraseña, y en el libro de texto había un requisito estándar para transferir una cantidad considerable a una billetera bitcoin, enviar una confirmación de la transferencia al correo especificado y recibir una contraseña como respuesta. Como nos legaron nuestros antepasados, no entraron en negociaciones con terroristas, pero pasó el tiempo y hubo que restaurar los datos.
Cuando sucedió la situación, el grupo de tareas se levantó:
- Recuperar datos
- Establecer ruta de piratería
- Prevenir la recurrencia
Con la recuperación de datos, todo es simple: una copia nocturna lo es todo. Por si acaso, pasamos por la utilidad para recuperar archivos eliminados, pero en vano, Eraser claramente funcionó en el disco. Así que nos dispusimos a implementar una copia de seguridad y pasamos al punto sobre el establecimiento de la ruta de piratería.
Comenzamos examinando la "evidencia". Las fechas de creación de los archivos son aproximadamente las mismas y, como el creador, el administrador local, nada más interesante. Pasemos al sistema operativo. Además del administrador, los usuarios tienen un incomprensible usuario de Kelly con derechos administrativos. ¡Ya más interesante! Miramos más lejos. Configuración de red modificada: las direcciones de Google se especifican como DNS. Todo esto está muy bien, pero el servidor de archivos no tiene una conexión directa a Internet, por lo que no está claro cómo llegó el atacante. Sí, puede acceder al servidor a través de RDP, pero este RDP no mira hacia afuera. Miramos más lejos.
La empresa cuenta con un servidor de terminales para los empleados que trabajan de forma remota. Lo examinamos. Hay muchos inicios de sesión por fuerza bruta en los registros de seguridad, pero nada más sospechoso. No hay usuarios innecesarios en el sistema, la configuración no se ha cambiado, todo está limpio.
Dado que estamos hablando de empleados remotos, aumentamos las listas de dichos empleados y vemos cómo están configurados sus lugares de trabajo. Algunos de ellos trabajan en el servidor de terminal ya examinado y otros en sus PC. Y aquí se encontró el punto de entrada. En la PC de uno de los diseñadores había un usuario local Kelly con derechos administrativos y en su carpeta de descargas estaba el kit de distribución de WinRar con el que se archivaban los datos y había un Eraser para borrar. Bien, encontramos el punto, pero ¿cómo subiste al auto y cómo ingresaste al servidor de archivos?
Una inspección detallada de la máquina del diseñador reveló que la autenticación a nivel de red no estaba habilitada en la configuración de acceso remoto y, además, las actualizaciones no se habían instalado en el sistema operativo durante mucho tiempo. Entonces, presumiblemente, el vector de ataque fue el siguiente: escanee el puerto detrás del cual se cuelga el acceso RDP e investigue en busca de vulnerabilidades en el nivel de verificación del usuario. Luego, usando una vulnerabilidad en el sistema, ejecute el código que inicia el usuario Kelly e inicie sesión en la PC. Después de eso, se lanza un archivador a la PC, Eraser, y depende de investigar la infraestructura y realizar acciones maliciosas. Vale la pena señalar aquí que, en este caso particular, la empresa salió rentable: los empleados ingresaron solo durante el tiempo de restauración de archivos desde una copia de seguridad y eso es todo. Bueno, el administrador, por supuesto, cayó bajo la distribución por negligencia.Pero los atacantes podrían ir más allá: las bases de datos o los documentos con datos no se pueden cifrar, sino que se mueven fuera de su alcance. Y finalmente, las copias de seguridad en sí mismas: es bueno que no las hayan obtenido.
Ahora lo más importante es cómo no convertirse en el héroe de un artículo así. Aquí, de hecho, todo es simple: lo principal es la vigilancia. Compruébelo usted mismo con la lista de verificación:
- Todos los sistemas operativos tienen las últimas actualizaciones
- Controle todos los puntos de entrada a la infraestructura
- No uses contraseñas simples
- Para la autenticación de contraseña, implemente una política para usar solo contraseñas seguras
- Expanda el inicio de sesión mediante certificados si es posible
- Cambiar el nombre de las cuentas administrativas cuando sea posible
- Utilice el principio de privilegio mínimo
- Cortafuegos interno
- Antivirus corporativo
- Copia de datos sin conexión
- Supervise una mayor atención a su perímetro y reaccione
Qué se entiende por estas recomendaciones.
Las actualizaciones de los sistemas operativos no solo agregan funcionalidad, sino que también cierran vulnerabilidades que los atacantes podrían aprovechar. Es importante comprender que no solo debe actualizar el sistema operativo, sino todo el software que se utiliza en el lugar de trabajo.
Al controlar los puntos de salida al exterior, queremos decir que siempre es necesario saber quién, por qué motivo y cómo entra en la red de la empresa desde el interior. No debería haber situaciones en las que RDP sobresalga de la máquina del contador en un puerto estándar.
Se han escrito cientos y miles de artículos, publicaciones y notas sobre la necesidad de utilizar contraseñas seguras. Pero las personas se dividen en aquellas cuyas contraseñas fueron recogidas y aquellas que las cambiaron por otras más seguras. Digámoslo de nuevo: la longitud es de ocho caracteres, el uso obligatorio de letras mayúsculas y minúsculas, números y caracteres especiales. Lo ideal es utilizar un generador, de los cuales hay muchos, tanto en la red como integrado en el administrador de contraseñas más cercano.
Y cuando hablamos de contraseñas seguras, la política no debería ser de asesoramiento, sino obligatoria. Las políticas de grupo de Active Directory permiten que los scripts obliguen a los usuarios a cambiar su contraseña en intervalos específicos. Además, se establece una política para la longitud mínima de la contraseña y el número de contraseñas utilizadas para que el usuario no utilice dos contraseñas seguras para políticas, simplemente cambiándolas a medida que se vuelven obsoletas.
Las contraseñas seguras son buenas, por supuesto, pero aún mejor: acceso a certificados. Sí, es más difícil de implementar, incómodo en algunos lugares, pero es seguro. Piénselo, tal vez el costo de implementar una infraestructura PKI sea menor que el costo de recuperar los datos perdidos en un ataque de piratas informáticos.
Cambiar el nombre de los registros administrativos ayuda contra los ataques de diccionario en cuentas como Administrador, Administrador, Administrador y Administrador, que están presentes en los sistemas de forma predeterminada y rara vez se bloquean. Cambiar el nombre de las cuentas administrativas a un conjunto aleatorio de letras y números evitará tal ataque. Por supuesto, este paso implicará la introducción, si no un administrador de contraseñas global, al menos un registro de contraseñas.
El principio de privilegio mínimo nos enseña a no otorgar derechos innecesarios para realizar las tareas asignadas. Un servicio que, por ejemplo, limpia los perfiles de usuario de los archivos temporales, de hecho, no necesita derechos administrativos para el servidor de archivos; solo necesita derechos para eliminar archivos en el almacén de perfiles. Además, es para remoción. Tampoco necesita permiso para cambiar archivos. Esto lo salvará del problema que surgirá en caso de que se comprometan las credenciales, ambas cuentas de servicio y, en general, reducirá el frente del ataque a su infraestructura.
El principio de privilegio mínimo también encaja en la presencia de un firewall activado en las máquinas y servidores de los usuarios. Dejamos solo lo necesario y apagamos o prohibimos el resto. Si es posible, no respondemos a las conexiones entrantes. Nada más es tu lema.
Utilice un antivirus. Sí, los usuarios y administradores de sistemas siempre se quejan de que los antivirus interfieren con su trabajo, ralentizan el rendimiento y esto es una pérdida adicional del dinero de la empresa y la potencia informática de las computadoras. Pero la falta de antivirus tarde o temprano jugará su papel y un día el usuario lanzará el archivo desde la carta y descifrar los archivos costará mucho más que una licencia corporativa para el complejo antivirus.
Se mencionó anteriormente que es bueno que no llegamos a las copias de seguridad en sí. Siempre debe tener una copia que se saque de la infraestructura y el acceso a dichas copias debe ser lo más limitado posible. Es caro mantener estas copias actualizadas, pero los usuarios estarán más contentos con archivos incluso trimestrales que con una pérdida total de datos.
Y finalmente, lea los registros de acceso, contienen muchas cosas interesantes. Implementar un sistema de prevención de intrusiones completo es costoso, pero puede hacer mucho con sus propias manos. Analice las direcciones de las que proviene el escaneo de puertos o la fuerza bruta de las credenciales. Compruebe las máquinas y servidores de los usuarios con regularidad en busca de malware.
Por supuesto, incluso el cumplimiento total de estas recomendaciones no le dará una garantía del 100% contra los ataques, pero al menos reducirán el porcentaje de riesgo. Y no te olvides de capacitar a tus empleados, porque incluso el sistema más seguro está indefenso con una completa falta de comprensión sobre las consecuencias de ciertas acciones. Si un empleado ingresó a sus cuentas en un formulario de phishing, no importa qué tan seguro sea el sistema, el empleado ya se ha visto comprometido. Si el acceso se proporciona desde una máquina infectada, usted mismo lanza malware en su red. Tenga siempre cuidado, el descuido de la seguridad puede causar daños importantes no solo al empleado, sino también a la empresa en su conjunto.
Ahora un poco sobre por qué no se hizo esto en este caso. Aquí, también, todo es simple, como un lápiz TM: el lugar de trabajo del diseñador se implementó mediante un ensamblaje pirateado. Por favor, no cometa errores tan fatales. En primer lugar, es ilegal y, en segundo lugar, pierde más recursos cuando limpia las consecuencias de tal negligencia hacia su infraestructura de TI. Cuida de ti y de tus datos. Y si tiene algo que agregar en la lista de verificación o en la situación en general, entonces es bienvenido en los comentarios.
Publicidad
Nuestra empresa ofrece servidores seguros con protección DDoS gratuita. La capacidad de usar un servidor Windows con licencia en planes con 2 GB de RAM o más, creando copias de seguridad del servidor automáticamente o con un solo clic.
Usamos unidades de servidor extremadamente rápidas de Intel y no ahorramos en hardware, solo equipos de marca y algunos de los mejores centros de datos de Rusia y la UE. Date prisa para comprobarlo.
