Ransomware i kako se zaštititi
Preuzeto iz PC Press članka, nakon što su preživeli napad:
- RDC (3389) port na Windows‑u ne sme da bude otvoren za ceo svet. Preusmeren ili ne, on predstavlja preveliku opasnost. Zato pristup treba eventualno omogućiti samo saradnicima koji imaju statičke IP adrese, a za sve ostale konfigurisati VPN, dobro ga obezbediti i koristiti kao jedini ulaz u mrežu.
- Operativni sistem treba da bude update‑ovan na najnoviju reviziju.
- Treba sistemski zahtevati da lozinke budu složene i ne obazirati se na to što se kolege (pa čak i menadžment) bune da im je teško da ih zapamte. Najzad će ih zapamtiti, što ne treba da vas spreči da povremeno zahtevate da se lozinke promene.
- Korisniku Administrator treba zadati veoma složenu lozinku, a poželjno je i preimenovati ga u neko drugo ime (možda na srpskom?), tako da napadač mora da gađa kako username tako i password administratora.
- Veoma je poželjno da definišete Control Panel / Administrative Tools / Local Security Policy / Account policies / Account lockout policy. Stavite da posle, recimo, 3 neuspešna pokušaja pogađanja lozinke username bude blokiran na 5 minuta, što će ojaditi svakog bota koji pokušava da pogodi lozinku. Doduše, može se desiti da, tokom nekog većeg napada na sistem, i regularni korisnik ne može da se prijavi jer mu je username blokiran, ali do takvih stvari valjda neće prečesto dolaziti. Šteta što ne postoji neki sistemski način da se zabrani bilo kakav saobraćaj s neke IP adrese ako je s nje došlo X pogrešnih pokušaja logovanja, zbog čega kolege koje se bave sistem administracijom preporučuju posebne alate kao što je TSplus.
- Kad ste već u editoru sigurnosnih polisa, posetite i sekciju Local Policies / Audit Policy pa zatražite da se beleže uspešna i neuspešna logovanja (Audit logon events: Success, Failure i Audit account logon events: Success, Failure). Dobro je da beležite i razne druge sistemske događaje.
- Samo beleženje događaja u mreži nije dovoljno: treba pažljivo proveravati logove, ne samo na ruteru nego i na serverima. Dobro je osmisliti mogućnost da se kopije logova čuvaju negde van mreže.
- Backup treba da bude redovan, automatski i višestepeni.
- Tokom backup‑a server ne treba da kopira podatke na eksterni uređaj – bolje je da eksterni uređaj kopira podatke sa servera, a da server nema nikakva prava na tom uređaju. S druge strane, uređaj treba da ima samo prava čitanja podataka na serveru, za slučaj da neko hakuje backup uređaj.
- Bolje je da se kopiraju fajlovi nego da čitav backup bude u nekoj složenoj strukturi čije malo oštećenje može da uništi sve podatke.
- Treba čuvati i ranije verzije fajlova, dakle predvideti dovoljan prostor za backup, ali i način da se kasnije izdvoje fajlovi koji su na serveru obrisani, a na backup‑u sačuvani.
- Obavezno mora da postoji zadnja rezerva u vidu backup‑a koji je off‑line, a poželjno i čuvan na nekoj udaljenoj lokaciji (off‑site). Cloud backup je takođe dobra ideja, ako je količina podataka umerena a upload komponenta Internet linka izdašna.