Оригинал: Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов

[bga68comp]

Назад к ч.1

Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов. ч.2

Было «охренеть как сложно», мы потратили от силы 3 рабочих дня (24 часов и 24х75=1800евро денег высококвалифицированного специалиста) из предоставленных 43 дней с предыдущей атаки для того, чтобы защититься от разрушительного действия вируса типа Petya.

Да, тут некоторые коллеги в комментах дискутировали насчет того, что «нельзя так просто взять и поделить сеть на подсети пользователей и банкоматов – есть моменты администрирования и удобства работы» – но, в любом случае, у CIO было еще минимуму 3-5 дней на подумать, а потом решить, что удобство работы перед угрозой полномасштабной вирусной атаки – отходит на второй план. В общем – даже не думали и не сделали НИЧЕГО.

Наши потери от Petya после принятых общих мер – мы потеряли, скорее всего, все машины, которые заразились путем приезда «обновления от MEDoc» (хотя, при использовании IDS типа Defender ATP – и эти потери могут быть сведены к минимуму), мы потеряли 10% от тех машин, которые получили «письма счастья», а компания – потеряла работавших на них сотрудников. ВСЕ! Никакой эпидемии, никаких отключившихся касс и банкоматов (!!!), никаких тысяч часов на восстановление ИТ-инфраструктуры. Осталось восстановить требуемые данные из бекапов (или вообще ничего не восстанавливать, кроме ОС на ПК – если ИТ-инфраструктура сделана правильно и все хранится и бекапится централизованно, к тому же – в облако).

Так что это было, добродии?! Почему Petya гулял по украинским сетям, вынося всех и вся (и не надо рассказывать, что «в Европе/России тоже пострадали», «это была спланированная атака на Украину») – как не лень, некомпетентность и пофигизм CIO попавших под раздачу организаций и полный пофигизм Microsoft Ukraine по отношению к наземной угрозе?!

Ах да, Microsoft и «облака наше все»… Сейчас пойдут разговоры о том, что если бы «все было в Azure», то ничего бы не было. Было бы – с тем же результатом – ваши виртуальные машины в Azure были бы в той же ситуации – локальная сеть, открытые порты и т.п. – потому что в гибридной инфраструктуре облачная часть IaaS по безопасности ну никак не отличается от наземной по необходимости настроек.

Таким же образом, через обновления, Petya успешно бы пролез и на виртуалки в Azure, дальше бы пошел гулять по виртуальным сетям Azure (которые вы бы не поделили на сегменты, не изолировали, не использовали firewall на каждой), а потом и через Site-to-Site VPN залез бы и на наземные ПК пользователей… Или наоборот – с тем же результатом в такой незащищенной от угрозы изнутри “обланой” инфраструктуре.

А то было бы и хуже – учитывая умение Petya считывать учетные записи админов и зная безалаберность этих админов – Petya.Cloud (с модулем работы в облаке – дописать в код пару строчек) давно бы уже имел административные права на ваши подписки в облаках и делал бы там все, что заблагорассудится, кидая вас еще и на деньги – например – поднимал бы виртуалки для майнинга или ботсетей в вашей облачной подписке, за которые вы бы потом платили по 100К-300К уе/мес.

И даже использование облачного Microsoft Office 365, который вроде как SaaS и его инфраструктура защищается Microsoft – при такой дырявой инфраструктуре на местах – не спасет – с тем же успехом вирус добирается до админского аккаунта O365, используя воровство учетных записей – и дальше подписка O365 уже «не ваша».

Вам об этом не сказали Microsoft, Google, Amazon – все, кто продает «облака»? Так это, им же продать надо, а не решать ваши проблемы – а все проблемы облаков – находятся «на местах», а туда особо уже и не продашь – значит, и инвестировать в наземные части заказчиков не стоит ни копейки – даже тренингами и семинарами…

И всем – приготовиться – это была только следующая волна, ждем следующей, как только ребята найдут следующий механизм “заброски” и инфильтрации вируса в корпоративные сети. И этот вирус также не будет обнаруживаться антивирусами по сигнатурам и будет эксплуатировать свежие уязвимости сетей и незакрытые механизмы типа Pass-the-hash/Pass-the-ticket. И вот просто “перенести все в облака” вам не поможет, а подписка на облачные Microsoft ATA/Defender ATP в дополнение к описаным выше мерам – вполне.

И небольшой ликбез для тех, кому интересно (некоторые доклады – почти годичной давности):

Watch on YouTube

Webcast: как противостоять современным информационным атакам при помощи Microsoft Advanced Threat Analytics – про Pass-the-hash/pass-the-ticket атаки

Watch on YouTube

О безопасности гибридной/облачной ИТ-инфраструктуры в Azure IaaS

И немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

• 1ю часть – практические шаги по подготовке для себя тестового рабочего места на Windows 10 – смотрите здесь,


• 2ю часть – подготовка тестовой инфраструктуры c Windows Server 2016 для запуска лабораторных работ,


• 3ю часть – использование облачных виртуальных машин Azure IaaS для тестовой лаборатории.

Подписывайтесь на мой Youtube канал iWalker2000 – для подпискипросто кликните сюда

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов и Системных Администраторов:

• СофТы: что делать, если “тормозит” комп – как и чем померять производительность диска, ч.01


• ИТ-карьера: как стать ИТ-специалистом, основные шаги для успешной карьеры в ИТ – YouTube


• Модель оптимизации ИТ


• ИТ-карьера – кто такой Системный Администратор, ИТ-дженералист-эникейщик и какие требования, навыки, знания нужны для успешной карьеры ИТ-специалиста


• Коллекция полезных ссылок на документацию по Active Directory


• бесплатные онлайн-курсы от Microsoft


• ИТ-эмиграция – серия видо о том, как ИТшники уезжают в Европу и как им живется “за бугром”


• Все мои технические вебкасты по технологиям Microsoft


• О работе: короткое демо выполненного проекта частного облака


• О работе: как выглядит современный датацентр на примере ЦОД “Парковый” в Киеве


• Доклады по серверным технологиям Microsoft Windows Server


• Стратегия оптимизации ИТ-инфраструктуры


• Семинары Windows Server 2016 Jump Start – что нового в серверных решениях Microsoft, Киев, 6.11.2015


• Технические доклады с Microsoft TechDays’осень 2015 по Windows 10 для системных администраторов


• Записи тренинга по облачной ИТ-инфраструктуре для системных администраторов – Microsoft Azure Infrastructure Camp, май 2015


• Курсы по Microsoft Azure для ИТ-профессионалов на Microsoft Virtual Academy


• Бесплатные книги в электронном видео от Microsoft Press здесь

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

• мой канал на YouTube – www.youtube.com/iwalker2000 ;


• в Facebook – http://www.facebook.com/igor.shastitko ;


• в VK – http://vk.com/id194611286 ;


• в Twitter – http://twitter.com/iwalker2000 ;


• в Linkedin – https://www.linkedin.com/in/iwalker2000 ;


• подробно обо мне здесь, на моем персональном техническом блоге –https://iwalker2000.wordpress.com/about/ .

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии.www.slovakiago.com Не упустите свой шанс жить и работать в Евросоюзе!