bga68comp: (Default)

Уроки Petya / Netya

Почему он был такой «успешный»? Вот почему:

Реакция IT-персонала ряда компаний во время атаки 27 июня 2017 г.:
• Не увидели: системы мониторинга выявили атаку, но ответственных за обработку уведомлений не было
• Не поняли: система мониторинга выдавала различные «оранжевые» предупреждения, сопоставить которые с угрозой не смогли
• Не отреагировали: поняли, что атакуют, но вместо быстрого отключения пораженных сегментов начали «разбираться, как это работает»
• Не смогли отреагировать: всё понимали, но не было полномочий на отключение пораженных систем и сервисов Не смогли (быстро) восстановиться: не было регламентов (DR-планов) и навыков восстановления систем после сбоев

Security is a process, not a product. (Bruce Schneier, CTO of IBM Resilient)

Вопросы, которые следует задать себе:

Когда (не если!) защиту вашей сети обойдут, то каковы будут:
• Время восстановления базовой работоспособности и % деградации функционала?
• Время восстановления полной работоспособности?
• За какой период будут утрачены данные (результаты работы бизнеса)?

Ответы, которые следует запомнить:

NIST Best Practices (Best Practices in Cyber Supply Chain Risk Management):
• Развивайте свою защиту, основываясь на принципе, что ваши системы будут взломаны.
/ Develop your defenses based on the principle that your systems will be breached. /
• Кибербезопасность - это не просто технологическая проблема, это проблема людей, процессов и знаний.
/ Cybersecurity is never just a technology problem, it’s a people, processes and knowledge problem. /



Рис. Структура системы киберзащиты на основе TIER

Источник (частично):
https://it-integrator.ua/sites/default/files/imce/rezervnoe_kopyrovanye.pdf

См.также:
DX - цифровая трансформация


bga68comp: (Default)


vs


Part 1.
Безопасность:
- Использование ОС общего назначения в Hyper-V;
- Использование файлового протокола общего назначения для работы с томами СХД (SMB);
- Количество обновлений безопасности:
259 за прошлый месяц: - https://portal.msrc.microsoft.com/en-us/security-guidanceи
1 за 3 месяца: - https://my.vmware.com/group/vmware/patch#search).

Кроме вышесказанного - вирусная эпидемия # Petya.A / # NotPetya ничему не научила?

Part 2.

VMware: Не требуется выделенная ОС. Размер гипервизора – 160 МБ (базовая установка без
драйверов). Hyper-V: образ min 1,5GB.

Part 3.

VMware vSphere предоставляет технологии управления памятью. В MS Hyper-V есть функционал управления памятью – Dynamic Memory, однако данную настройку нужно проводить для каждой ВМ вручную.
Как результат – на хостах vSphere можно разместить большее кол-во.

Part 4.
VMware превосходит Hyper-V по параметру "операционная эффективность":
- Плотность VM на host и скорость восстановления после сбоев;
- Простота выполнения типовых операций, например, добавления DataStores на Cluster;
- Управление на масштабе – vRealize Operations Manager 6.6 - это Cross-Cluster DRS.
+ Примечание 4 )
Part 5.

Публичный документ по сравнению механизмов памяти и НА между vSphere и KVM. На Hyper-V почти тоже самое, что и на KVM.

Part 6.

Зрелость и функциональность целевой SDDC платформы (гипервизор + SDS (vSAN) + SDN (NSX) + CMP(vRealize Suite) + VDI (Horizon) + EMM (AirWatch)) – выбор гипервизора диктует последующий выбор системы мониторинга и частного облака, програмных сетей и схд.

+Примечание 6 )

Part 7.

Вендоры передовых решений по информационной безопасности ориентируются именно на платформу VMware vSphere и на платформе Hyper-V просто не функционируют. Выбор гипервизора диктует последующий выбор системы мониторинга и стратегии развития информационной безопасности.

Part 8.

Построение гибридных инфраструктур. В Microsoft нет возможности выбора провайдера облака – только
Microsoft Azure. При этом Hyper-V Gen2 не поддерживаются в Azure. VMware поддерживает любые облака.

Part 9.

Преимущества VMware для облаков - многие возможности Hyper-V 2012/2016 Gen2 VM
vSphere vmware-vsphere-6-with-operations-management-comparison-guide-ch-en.pdf

Part 10.

Шифрование VM на vSphere 6.5 - 3 действия:
10.1. подключить сервер ключей;
10.2. включить возможность шифрования на хостах;
10.3. назначить политику шифрования на нужные VM или VMDK и никаких Shielded VM, Host Guardian Service, vTPM и прочего.
+ 10 Примечание )

Сравнение уже устаревших версий:
+ Развернуть... )

Доп.информация: Виртуализация: поле борьбы - Microsoft против VMware


bga68comp: (Default)
Cisco Ukraine

20 липня запрошуємо усіх бажаючих приєднатися до вебінару, під час якого ми продемонструємо результати розслідування нещодавньої кібератаки # Nyetya, що уразила тисячі комп'ютерів в Україні.
Починаємо об 11:00 за київським часом.
Реєструйтеся вже зараз та дізнайтеся про особливості цього вірусу від експертів Cisco з інформаційної безпеки Vladimir Ilibman, Pavlo Rodionov та операційного директора компанії Berezha Security Vlad Styran >> http://cs.co/61828SpWA

Nyetya – новый червь, поразивший тысячи компьютеров в Украине.

Nyetya очен опасен. Он распространяется автоматически и использует принципиально новые механизмы поражения, по сравнению с Petya и Wannacry. Эксперты по изучению киберугроз Cisco Talos рассказывают о его особенностях и способах защиты.

Petya A. Он же NotPetya. Он же Nyetya...
Как не стать жертвой кибератаки?

Дата вебинара: четверг, 20 июля 2017.
Начало - 11:00 по киевскому времени.
Спикеры: Владимир Илибман, Павел Родионов, Владимир Стыран.


27 июня 2017 года Украина, Европа и страны СНГ подверглись разрушительной кибератаке Nyetya (Ne-Petya), которая затронула большое число коммерческих организаций и государственных учреждений. В результате сотни тысяч компьютеров оказались зашифрованными, тысячи организаций столкнулись с потерей данных и нарушением работы сервисов.

На вебинаре мы расскажем вам об источнике атаки, идентификации ее ключевых аспектов, о подобных атаках, которые происходили в мире, а также о различных организационных и технических мерах, которые позволят защититься от хакерских атак в будущем и снизить их последствия.

Анализ атаки от Talos
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html?stickynav=1&campaign=UA_Ransomware_Facebook_gp137ek&country_site=ua&position=facebook_gp137ek&referring_site=paid-ads&creative=UA_RW_Followers_Webinar_2&keyword=download&keycode=001480249&dtid=0014


bga68comp: (Default)
Вирусы пишут талантливые люди

Я всегда интуитивно склонялся к тому, что вирусы пишут не только глубоко обиженные на судьбу люди, но и талантливые, амбициозные, профессиональные и действительно увлеченные своей идеей люди.

С возрастом я все больше в этом убеждаюсь. Эпидемия вируса Petya - этому лишний раз подтверждение.

уважуха

В голове невольно складываются кубики — что сделали правильно или неправильно, как только узнали об атаке?


Что было сделано правильно в первые часы атаки:

Первичный сценарий заражения

Предпринятые меры

Сценарий – проникновение через почтовые сообщения в виде вложения к письму заблокировали почтовые вложения

+ неоднократные рассылки с категорическим запретом открытия подозрительных вложений

Сценарий –  через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО погасили сервера M.E.Doc до выяснения

Вторичный сценарий заражения

Предпринятые меры

Активация. Сценарий –  команда через Интернет зараженным ПК закрыли доступ всех пользователей в сеть Интернет
Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах исторически созданное сегментирование сети

+ всех заставили выключить ПК и распустили домой

Механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей/администраторов локальных и доменных всех заставили выключить ПК и распустили домой

Как выразился Игорь Шаститко — «что действительно должны были сделать»? Какие сервисы защиты уже были на всех уровнях ИТ-инфраструктуры?

Рекомендации от Игоря Шаститко кратки и просты (для специалистов):

Уровень

Технологии

Данных ACL / шифрование
Приложений антивирус (который поддерживается на Windows +Linux), Applocker / Device Guard
Хостов Последняя версия ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS),  Device Guard
LAN Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)
Периметр FW, контроль доступа, App FW, NAP
Физическая безопасность Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения
Люди, политики, процедуры Документирование, тренинги, предупреждения и уведомления, наказания…

Если углубиться, то этот посыл может выглядеть так:

Необходимые технологии для закрытия от вирусных атак типа Petya nonPetya

Уровень Технологии
Данных ·         ACL

·         Шифрование

·         Классификация данных с RMS

·         ACL есть?

·         Шифрование есть?

·         RMS нет?

Active Directory («Активный каталог», AD) — служба каталогов корпорации Microsoft ·         Актуальная база Users, Comps, Servers, Groups в AD: OU для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         OU для Users&Admins по структуре и местоположению

·         Microsoft PAM

·         разделяемый доступ администраторов к OU

·         Обычно что-то есть в AD, но не задокументировано.

·         Microsoft PAM,

·         LAPS — нет:  уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

·         Жесткая идентификация пользователя и на каком компьютере произведен вход в полях AD:

1.       Расширить схему AD и добавить поле для MAC-адреса компьютера;

2.       Внести в тестовый логон-script, чтобы для каждого пользователя, кто входит в сеть, напротив имени учетной записи в поле description вписывалось FDQN компьютера, с которого произведен вход;

3.       В том же скрипте вписывать в поле description в имени компьютера имя учетной записи пользователя, который вошел на этот компьютер и в новое поле по п.1 вписывать MAC-адреса компьютера

Приложений ·         антивирусы (обновление сигнатур),

·         «бронирование» приложений и сервисов с помощью механизмов обнаружения вторжения

·         подписка на Defender ATP или

·         Microsoft ATA

·         Applocker

·         Device Guard

Хостов ·         ОС (политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или

·         отключить SMB v1 как класс и прочие ненужные устаревшие сервисы

·         через AD GPO запретить User открывать разделяемые ресурсы),

·         аутентификация,

·         управление обновлениями,

·         FW,

·         защита от вторжения (IDS — подписка на Defender Advanced Thread Protection),

·         VBS,

·         Device Guard

·         VBS и Device Guard для защиты от кражи идентити.

1.       Но – VBS есть только в Windows 10 не во всех редакциях и

2.       есть рекомендации по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7,

3.       использование рекомендованных шаблонов безопасности (для Windows 10 без VBS/DG) — отключение кеширования идентити при входе.

·         Уникальные административные пароли на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS).

·         Административные учетные записи, не обладающие полнотой прав на уровне всей сети (Securing-privileged-access).

LAN ·         Сегментирование и изоляция (VLAN)

·         шифрование (IPSec)

·         защита от вторжения (NIDS)

·         сегментирование и изоляция (VLAN)

·         заменить все Cisco по проекту = заменить сетевые устройства, которые не поддерживают 802.1x во всей сети

·         Создать сегменты для серверов приложений (сегментированных между собой по типам приложений и требуемого сетевого доступа)

·         RADIUS

·         Включить 802.1x на сетевом уровне

Периметр ·         FW,

·         контроль доступа,

·         App FW,

·         NAP

·         сервис фильтрации почтовых сообщений (в Microsoft Exchange) – удаление всех файлов, кроме разрешенных типов,

·         антивирусная система для электронной почты.

·         аренда аналогичных облачных сервисов Exchange Online Protection, «знания» которого не зависят от «расторопности» администраторов (время внедрения – 30 мин + обновление доменного имени)

Физическая безопасность ·         Охрана,

·         ограничение доступа,

·         аппаратный контроль и аудит доступа,

·         отслеживание устройств,

·         камеры наблюдения

соответствие инвентарному кол-ву компьютеров
Люди, политики, процедуры ·         Документирование,

·         тренинги (обучение не открывать файлы),

·         предупреждения и уведомления (о возможных атаках),

·         наказания:

1.       вплоть до увольнения и судебных исков против запустивших вирус

2.       персональная ответственность админов и сетевиков за каждый следующий поломанный по сети компьютер из-за того, что его учетная запись «гуляет» по всей сети

Предупреждали пользователей, пугали наказанием — сработало.

Админы могут проигнорировать смену паролей — нужно проверить даже, если доверяешь

Ссылки:

Securing Privileged Access — http://aka.ms/privsec

Defense-in-Depth https://msdn.microsoft.com/ru-ru/library/cc767969.aspx

Рекомендованные шаблоны безопасности (и для Windows без VBS/DG) – http://aka.ms/pth

Local Administrator Password Solution (LAPS) — http://aka.ms/laps

Учетные записи, не обладающие полнотой прав на уровне всей сети — https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Практическое видео от Игоря Шаститко с примером реальной лабораторной по заражению домена Petya.C с правильно настроенными политиками безопасности согласно требованиям Defense-in-Depth для защиты от современных типов угроз (типа того же Pass-the-Hash/Pass-tht-Ticket, которые использовал Petya.AC) – при явном заражении одного ПК – влияние вируса на остальную лабу – нулевое.

Ну, вот где-то так.



bga68comp: (Default)





Корпоративный анекдот:
Прим.: Azure RMS - технология Майкрософт для шифрования любых файлов с конфиденциальной информацией.

Менеджер из Майкрософт спросил у компании, которая тестировала внедрение технологии Azure RMS:
"Добрый день! Какова ситуация с Azure RMS проектом? Когда будем внедрять?"
Ответ:
"Добрый день, Петя зашифровал RMS. Приняли решение о внедрении Пети"


bga68comp: (Default)


Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов, которая должна была быть в каждой ИТ-инфраструктуре–то, что не сделали вовремя украинские CIO



2 Votes


А теперь послушайте страшную историю о том, что вы действительно должны были сделать, дорогие мои CIO – так сказать, «техническое алаверды» тому потоку негатива от обиженных CIO и “патриотов”, который последовал за публикацией предыдущего поста «про Petya» в ФБТрагедия и фарс–украинские CIO и 150 долларовые админы, российский след и “атака ФСБ”, тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

Особенно «возбудились» почему-то некоторые «патриотические» деятели с дежурной фразой – «ты не живешь в Украине, какое право ты имеешь об этом писать!» – спасибо, повеселили, значит, мой «толстый» троллинг зацепил за живое…

Ладно, оставим лирику – все равно я всякое разное в ФБ комментах покилял, а самых ярых – заблокировал.

А мы посмотрим пошагово, чего же такого «провтыкали» CIO, что могло бы предотвратить эпидемию в украинских компаниях «на корню», что есть в базовых рекомендациях Defense-in-Depth https://msdn.microsoft.com/en-us/library/cc767969.aspx и реализовать которые не является большой проблемой. Напомню, требования Defense-in-Depth (DiD) достаточно простые и предусматривают реализацию тех или иных сервисов защиты на всех уровнях ИТ-инфраструктуры.

Уровень

Технологии

Данных

ACL/шифрование/классификация данных с RMS

Приложений

SDL, антивирусы, «бронирование» приложений и сервисов, App/Device Guard

Хостов

«Бронирование» ОС, аутентификация, управление обновлениями, FW, защита от вторжения (IDS), VBS, Device Guard

LAN

Сегментирование и изоляция (VLAN), шифрование (IPSec), защита от вторжения (NIDS)

Периметр

FW, контроль доступа, App FW, NAP

Физическая безопасность

Охрана, ограничение доступа, аппаратный контроль и аудит доступа, отслеживание устройств, камеры наблюдения

Люди, политики, процедуры

Документирование, тренинги, предупреждения и уведомления, наказания…

Есть и более «продвинутые» методы защиты, которые обеспечивают высокий уровень защиты от современных типов атак, которые в том числе, использовались и в Petya – Securing Privileged Access – http://aka.ms/privsec

Итак, начнем с первичного заражения. В данной эпидемии рассматривается 2 основных сценария – проникновение через почтовые сообщения в виде вложения к письму и через систему обновлений MEDoc, так называемую атаку «software supply chain attacks», когда взламывается поставщик ПО. Подробно, кто еще не прочитал – «разбор полетов» можете посмотреть здесь – https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

При этом в первом сценарии запущенный пользователем из почты исполнимый файл атакует ОС через уязвимости SMBv1 (EternalBlue/EternalRomance) и получает все требуемые права, чтобы выполнить свои процессы – шифрование и распространение.

Какие методы противодействия Defense-in-Depth помогут от подобной атаки:


  • Периметр – сервис фильтрации почтовых сообщений (например, в Microsoft Exchange) – просто удаляющий все файлы, кроме разрешенных типов, антивирусная система для электронной почты, если нет чего-то подобного – аренда аналогичных облачных сервисов, например – Exchange Online Protection, «знания» которого не зависят от «расторопности» админов (время внедрения – 30 мин + обновление доменного имени).

  • Приложения – антивирусы, которые ловили Petya.A с самого начала эпидемии. Надо обновлять сигнатуры – нет, не слышали?

  • Хост – бронирование ОС – накатить готовые политики с рекомендованными настройками безопасности от Microsoft Security Compliance Manager или доточить их под рекомендации – например, отключить SMB v1 как класс и прочие ненужные устаревшие сервисы – плевое дело, управление обновлениями (совсем не сложно, особенно, если Windows не пиратская), с IDS сложнее, но даже тут – всего лишь подписка на Defender Advanced Thread Protection, который, как показала практика, ловит атаки подобного типа на корню.

  • ЛПП – обучение не открывать файлы, предупреждение об возможных атаках и наказание – вплоть до увольнения и судебных исков против запустивших вирус (ах, да – страна такая, законы не работают – тогда просто переломайте запустившему вирус ноги).

Так что в данном случае – сам факт заражения существенно снижается…

Сценарий второй – вирус «прилетел» через обновление той или иной LoB-системы и здесь пока почти без шансов – скорее всего компьютер будет заражен, поскольку код выполняется от прав системы.

Но не будем расстраиваться. Мы потеряли один компьютер и далее все зависит исключительно от устойчивости ИТ-инфраструктуры в целом.

Дальнейший сценарий распространения вируса Petya проходит по нескольким направлениям:


  • Механизм, использующий уязвимость SMBv1 (EternalBlue/EternalRomance) на находящихся в одной подсети с зараженным ПК компьютерах,

  • Или механизм pass-the-hash/pass-the-ticket, используя имеющиеся на зараженном ПК сеансы пользователей.

Первый вариант распространения вируса на соседние ПК блокируется очень просто с Defense-in-Depth:


  • LAN – сегментирование и изоляция (VLAN) – совсем просто, особенно учитывая кол-во накупленных в компаниях Cisco и прочего оборудования, надо только сесть и чуть подумать, какой же трафик куда должен ходить между сегментам пользовательских ПК (многочисленных и разнесенных тоже) и серверами приложений (тоже сегментированных между собой по типам приложений и требуемого сетевого доступа). Мы не говорим даже об NDIS – даже без обнаружения вторжения (хотя если Cisco – так чего бы не активировать?) – сегменты сетей стали бы непреодолимым барьером для проникновения вируса вне группы ПК.

  • Хост – с его firewall, который, как ни странно, сейчас включается в Windows по умолчанию и только дурацкий ответ на вопрос – «хотите ли вы расшарить свои файлы в сети» – «да, хочу!» – портит всю картину. Ну вот зачем, зачем пользовательскому ПК вообще что-то публиковать в сети? Зачем все админы так любят отключать firewall? Легче работать? А не легче ли написать правила в групповых политиках… И все, даже в рамках одного сегмента сети – такие ПК c firewall будут защищены от посягательств зараженного ПК. А что насчет контроллеров домена и прочих файловых помоек – читай выше, обязательных обновлений и «бронирования» и тут никто не отменял.

  • ЛПП – и да, не забываем о персональной ответственности админов и сетевиков за каждый следующий поломаный по сети комп.

Второй вариант распространения вируса чуть сложнее – Petya использует для атаки на другие ПК в сети наличие открытых пользовательских сеансов/кэшей паролей на зараженном ПК, а учитывая парадигму того, что многие админы на ПК используют один и тот же пароль локального администратора или учетную запись администратора домена для работы на любом ПК компании – здесь для Petya широкое поле деятельности с использованием механизмов атак pth/ptt. Имея на руках администраторские пароли и открытые «всем ветрам» порты соседних ПК – Petya успешно копирует себя через административные шары (Admin$) и запускает удаленно свой код на атакуемой машине.

НО, если обратиться к Defense-in-Depth, то можно обнаружить, что:


  • Хост – рекомендовано использование технологий VBS и Device Guard для защиты от кражи идентити подобными способами. Но – VBS есть только в Windows 10 – Ok, но никто не мешает познакомиться с рекомендациями по защите хостов от Pass-the-hash/pass-the-ticket атак для Windows 7 и т.д. – ничего сложного, кроме опять же – использования рекомендованных шаблонов безопасности (их же можно использовать и для Windows 10 без VBS/DG) – http://aka.ms/pth – начиная с отключения кеширования идентити при входе и т.п.

  • Хост – простейшая гигиена аутентификации, связанная с использованием уникальных администраторских паролей на каждой рабочей станции/сервере – утилита Local Administrator Password Solution (LAPS) – http://aka.ms/laps – избавит от головной боли «по запоминанию» каждого пароля, а далее – более сложные процедуры гигиены для администраторов, которые говорят, что для выполнения определенных действий на ПК должны быть использованы определенные учетные записи, не обладающие полнотой прав на уровне всей сети – https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material (а что, никто не в курсе, что с доменным админом ходить по рабочим станциям категорически запрещено?).

  • Плюс – уже упомянутые выше механизмы обнаружения вторжения – тот же Defender ATP или Microsoft ATA («заточенный» как раз на обнаружение атак pth/ptt) и, безусловно – firewall и сегментирование сетей для того, чтобы завладевший теми или иными учетными записями вирус не смог подключиться к соседям.

  • ЛПП – а здесь уже может “прилететь” и админу компании в целом, если окажется, что его учетная запись “гуляет” почему-то по рабочим местам пользователей или используется на ПК совместно с такими гуляющими админами.

ВСЕ! Было «охренеть как сложно», мы потратили от силы 3 рабочих дня (24 часов и 24х75=1800евро денег высококвалифицированного специалиста) из предоставленных 43 дней с предыдущей атаки для того, чтобы защититься от разрушительного действия вируса типа Petya.



Далее продолжение ->


bga68comp: (Default)
Назад к ч.1


Вирус Petya и правильная комплексная защита от него и подобных следующих вирусов. ч.2


Да, тут некоторые коллеги в комментах дискутировали насчет того, что «нельзя так просто взять и поделить сеть на подсети пользователей и банкоматов – есть моменты администрирования и удобства работы» – но, в любом случае, у CIO было еще минимуму 3-5 дней на подумать, а потом решить, что удобство работы перед угрозой полномасштабной вирусной атаки – отходит на второй план. В общем – даже не думали и не сделали НИЧЕГО.

Наши потери от Petya после принятых общих мер – мы потеряли, скорее всего, все машины, которые заразились путем приезда «обновления от MEDoc» (хотя, при использовании IDS типа Defender ATP – и эти потери могут быть сведены к минимуму), мы потеряли 10% от тех машин, которые получили «письма счастья», а компания – потеряла работавших на них сотрудников. ВСЕ! Никакой эпидемии, никаких отключившихся касс и банкоматов (!!!), никаких тысяч часов на восстановление ИТ-инфраструктуры. Осталось восстановить требуемые данные из бекапов (или вообще ничего не восстанавливать, кроме ОС на ПК – если ИТ-инфраструктура сделана правильно и все хранится и бекапится централизованно, к тому же – в облако).

Так что это было, добродии?! Почему Petya гулял по украинским сетям, вынося всех и вся (и не надо рассказывать, что «в Европе/России тоже пострадали», «это была спланированная атака на Украину») – как не лень, некомпетентность и пофигизм CIO попавших под раздачу организаций и полный пофигизм Microsoft Ukraine по отношению к наземной угрозе?!

Ах да, Microsoft и «облака наше все»… Сейчас пойдут разговоры о том, что если бы «все было в Azure», то ничего бы не было. Было бы – с тем же результатом – ваши виртуальные машины в Azure были бы в той же ситуации – локальная сеть, открытые порты и т.п. – потому что в гибридной инфраструктуре облачная часть IaaS по безопасности ну никак не отличается от наземной по необходимости настроек.

Таким же образом, через обновления, Petya успешно бы пролез и на виртуалки в Azure, дальше бы пошел гулять по виртуальным сетям Azure (которые вы бы не поделили на сегменты, не изолировали, не использовали firewall на каждой), а потом и через Site-to-Site VPN залез бы и на наземные ПК пользователей… Или наоборот – с тем же результатом в такой незащищенной от угрозы изнутри “обланой” инфраструктуре.

А то было бы и хуже – учитывая умение Petya считывать учетные записи админов и зная безалаберность этих админов – Petya.Cloud (с модулем работы в облаке – дописать в код пару строчек) давно бы уже имел административные права на ваши подписки в облаках и делал бы там все, что заблагорассудится, кидая вас еще и на деньги – например – поднимал бы виртуалки для майнинга или ботсетей в вашей облачной подписке, за которые вы бы потом платили по 100К-300К уе/мес.

И даже использование облачного Microsoft Office 365, который вроде как SaaS и его инфраструктура защищается Microsoft – при такой дырявой инфраструктуре на местах – не спасет – с тем же успехом вирус добирается до админского аккаунта O365, используя воровство учетных записей – и дальше подписка O365 уже «не ваша».

Вам об этом не сказали Microsoft, Google, Amazon – все, кто продает «облака»? Так это, им же продать надо, а не решать ваши проблемы – а все проблемы облаков – находятся «на местах», а туда особо уже и не продашь – значит, и инвестировать в наземные части заказчиков не стоит ни копейки – даже тренингами и семинарами…

И всем – приготовиться – это была только следующая волна, ждем следующей, как только ребята найдут следующий механизм “заброски” и инфильтрации вируса в корпоративные сети. И этот вирус также не будет обнаруживаться антивирусами по сигнатурам и будет эксплуатировать свежие уязвимости сетей и незакрытые механизмы типа Pass-the-hash/Pass-the-ticket. И вот просто “перенести все в облака” вам не поможет, а подписка на облачные Microsoft ATA/Defender ATP в дополнение к описаным выше мерам – вполне.

И небольшой ликбез для тех, кому интересно (некоторые доклады – почти годичной давности):



Webcast: как противостоять современным информационным атакам при помощи Microsoft Advanced Threat Analytics – про Pass-the-hash/pass-the-ticket атаки



О безопасности гибридной/облачной ИТ-инфраструктуры в Azure IaaS

И немного ссылок на другие материалы для тех, кто хочет стать просто ИТ-специалистом – смотрите первые шаги по созданию тестового рабочего места:

Подписывайтесь на мой Youtube канал iWalker2000 – для подпискипросто кликните сюда

И еще – немного ссылок про ИТ-карьеру и тренинги/обучающие материалы для ИТ-профессионалов и Системных Администраторов:

Также, по просьбам посетителей – меня найти можно (добавляйтесь в друзья и подписчики):

Эмиграция для ИТ-профессионалов в Европу! Оформление ВНЖ в Словакии, возможность работы со всеми странами ЕС, открытие фирм, ЧП с соответствующими видами деятельности, оформление документов для членов семьи. Быстро, качественно, дешево и абсолютно легально ВНЖ в Словакии.www.slovakiago.com
Не упустите свой шанс жить и работать в Евросоюзе!



Profile

bga68comp: (Default)
bga68comp

June 2025

S M T W T F S
123 4567
8 91011121314
15161718192021
22232425 262728
29 30     

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 2025-07-06 16:01
Powered by Dreamwidth Studios