К работе в чрезвычайной ситуации мы оказались не готовы.

30/06/2017


Полная запись сегодняшнего выступления


Рыцарь и дракон. Аудио-версия

29/06/2017

http://podfm.ru/getplayer/pod/?rss=http%3A%2F%2Fcybercop.podfm.ru%2Fskazki%2F2%2Frss.xml&channel=embeddedplayer


Выводы

29/06/2017

Итак, могу только еще раз повторить выводы, полученные в ходе эпидемии:
1. Думать нужно ДО того, после того полезно тоже, но радости принесет меньше
2. Тестировать планы работы в чрезвычайной ситуации нужно ДО ее наступления, потому как во время наступления можно только УБЕДИТЬСЯ ЧТО НИ ХРЕНА НЕ РАБОТАЕТ!
3. Обновления установленные не вовремя похожи на горчичники, приложенные к трупу.
4. Проверьте еще раз, есть ли у вас планы установки обновлений? Существуют ли журналы установки? Контроль?
5. Проверьте списки разрешенного ПО
6. Устанавливать ЛЮБОЕ ПО может только служба техподдержки или администратор! В том числе и VIP-сотрудникам!!!
Ну и последнее! Не жалейте времени и денег на обучение персонала! Заплатите больше!!!


В Германии считают, что кибератака исходила с территории Украины

28/06/2017

 

Федеральное ведомство по безопасности информационной техники ФРГ считает, что последняя масштабная кибератака исходила с территории Украины. Об этом сказано в распространенном 28 июня заявлении ведомства.

«Источник и главное направление кибератаки, судя по всему, приходятся на Украину, хотя нападение и привело к последствиям в мировом масштабе. Согласно сообщениям, вредоносное ПО было распространено посредством функции обновления через широко распространенную в Украине программу для отчетности MeDoc. BSI считает этот тезис правдоподобным», – заявили в ведомстве.

В ФРГ отметили, что волна атак, поразивших информационные системы многих компаний и организаций по всему миру, продолжается.

«В отдельных случаях нападение привело к значительным последствиям в области производства и к сбоям критических бизнес-процессов пострадавших предприятий», – сообщили немецкие эксперты, добавив, что среди пострадавших есть и германские компании.

«BSI находится в контакте с ними, но ввиду конфиденциальности ведомство не предоставляет данных по ним», – сказано в заявлении.

 

 



Советы киберполиции Украины и их краткий разбор

28/06/2017

Советы киберполиции Украины и их краткий разбор

  1. В случае выявления нарушений в работе компьютеров, которые работают в компьютерных сетях, немедленно отсоединить их от сетей (как сети Интернет, так и внутренней сети).
  2. С целью предотвращения случаев несанкционированного вмешательства в работу (в зависимости от версии ОС Windows) установить патчи (дополнительные разработки для данной проблемы) из официального ресурса компании «Microsoft».
  3. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует и обновлено должным образом. При необходимости нужно установить и обновить антивирусное программное обеспечение.
  4. Не загружайте и не открывайте дополнения в письмах, которые посланы из неизвестных адресов. В случае получения письма из известного адреса, которое вызывает подозрение относительно его содержимого, – следует связаться с отправителем и подтвердить факт отправления письма.
  5. Следует сделать резервные критически важных данных

 

А теперь вопросы

Пункты 2-5 стоит делать независимо от подозрения на заражение. Причем делать ДО атаки, после нее делать сложно, да и бессмысленно! Ведь если вы отсоединили компьютер от сети, КАК вы будете обновлять ПО??? Ну и последнее – о дополнениях. Снова-таки, поздно смотреть письма если дом горит. Это нужно делать ДО! Как и резервное копирование. Смысл его делать если вы уже заражены?

Мне интересно, эти советы кто-то читал перед публикацией???


История учит тому, что ничему не учит

28/06/2017

Лет 7 тому назад эпидемия червя Conficker (Kido). Червь появился в январе, а в октябре предыдущего года Microsoft выпустила патч, который закрыл соответствующую дыру. От момента выпуска патча до червя прошло 4 месяца. Кто не поставил — сам себе доктор.
В мае — Wanna Cry Патч Microsoft вышел за два месяца…
В июне Petya.A Патч для ОС — вышел в марте, для Word в апреле.

Вопрос. Кто накажет ИТ которое не устанавливает обновления?
Ответ — НИКТО! Microsoft виноват? Нет! Сами виноваты!!!


Вчерашняя эпидемия. Краткие итоги

28/06/2017

По сведениям Positive Technology зловред Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
Итак, описание — это здорово, но какие же выводы можно сделать? Что способствовало столь быстрому заражению?
1. Обилие пиратского ПО, причем не только в государственных, но и в коммерческих органах. Соответственно, ПО никогда не обновляется. До сих пор значительная часть операционных систем – давно устаревшая ОС Windows XP, менять которую нельзя ввиду устаревшего аппаратного парка и нежелания (или невозможности) руководства вкладывать в это деньги
2. Отсутствие планомерного обновления ОС.
3. Отсутствие перечня установленного ПО третьих производителей. Об аудите ПО я вообще молчу.
4. Отсутствие аудита аппаратного обеспечения.
5. Отсутствие политик безопасности. Либо, даже там, где они есть, выполнены они весьма формально. Часть пользователей до сих пор работает с правами локального администратора.
6. Неправильный выбор либо неадекватная настройка антивирусного ПО. Стоит напомнить что запрещенное ныне на Украине антивирусное ПО от Kaspersky Lab обнаруживало соответствующий вредонос практически сразу после первого заражения. По состоянию на вечер 27.06.17 антивирус Avast все еще не обнаруживал данный зловред. Более того, по данным VirusTotal только 16 из 61 антивирусного решения обнаруживали данный зловред.
7. Отсутствие планов восстановления в случае чрезвычайных ситуаций в большинстве компаний.
8. Отсутствие резервного копирования в небольших организациях.
9. Слабые знания ИТ и ИБ специалистов. В стране практически отсутствуют регулярные курсы повышения квалификации соответствующих специальностей.
10. Отсутствие программ повышения осведомленности пользователей в области безопасности и противодействия атакам социальной инженерии.
Думаю, этот список можно продолжать. Надеюсь, когда-то эти недостатки исправят. Хотелось бы побыстрее!