На главную

Что не так с защитой от шифровальщиков?

Атаки вирусов-шифровальщиков были успешны благодаря тому, что на пораженных компьютерах не устанавливались обновления систем, закрывающие уязвимости. Количество и разрушительная сила атак будут только расти. Но всегда есть возможность исключить из статистики потерь свой компьютер и сеть своей организации. Подробнее – о том, почему и как это нужно делать.

Ransomware, то есть вирусы-вымогатели, шифрующие данные на компьютере жертвы, были одной из основных тем для обсуждения, как только речь заходила об информационной безопасности в 2017 году. WannaCry, NotPetya и BadRabbit заблокировали сотни тысяч компьютеров, почти не оставив шанса их владельцам получить доступ к данным. У одних на дисках оказались похоронены студенческие дипломные работы, у других – дорогостоящие рабочие проекты, у третьих – критически важные для их организаций данные.

В предыдущие годы были и более масштабные вирусные эпидемии, и файлы тоже оказывались под угрозой, но шифровальщики оказали, наверное, самое сильное психологическое воздействие на пользователя. Он увидел, что вирусы и трояны – это не стихийное бедствие, которое может пройти мимо или зацепить краем, не нанеся особого ущерба. Теперь компьютерный зловред обрел «лицо» в виде преступника, который расставил сети и лично обращается к каждому, кто в них попал, с требованием выкупа собственных данных. Заражение вирусом-вымогателем куда более похоже на нападение уличного грабителя, чем кража трояном паролей от соцсетей и рассылка спама через почту и мессенджеры.

Никто не застрахован

Каждый раз Россия оказывалась в числе «лидеров» по распространению киберзаразы, причем не только среди частных пользователей. Количество организаций, ставших жертвами шифровальщиков, поражает. Вернее сказать, удивительно, какие имена можно встретить в списках из сотен названий: МВД и МЧС России, РЖД, «МегаФон», «ВымпелКом», крупные банки… Шифровальщики успешно атаковали не только рабочие станции, но и серверы, банкоматы, информационные табло и высокотехнологичное медицинское оборудование. Проблема оказалась настолько серьезной, что даже Совбезу РФ пришлось выступить с заявлением, что ничего страшного не происходит.

Попытки переустановить зараженную операционную систему, расшифровать данные почти никогда не приносили желаемого результата. Делать нечего – одни сразу смирялись с потерей данных, другие отправляли сотни долларов на биткоин-кошельки злоумышленников. Судя по многочисленным сообщениям из разных источников, разницы между этими вариантами поведения почти не было, за исключением дополнительных расходов. Преступники либо с самого начала не планировали присылать жертвам ключи шифрования в обмен на деньги, либо насторожились из-за грандиозного шума СМИ и активности правоохранительных органов, и решили лишний раз не «светиться» своими действиями в Сети.

Ах, если бы…

Если бы люди дисциплинированно выполняли все порученные им функции, мир стал бы очень скучным местом. В нем не было бы места для неожиданностей и незапланированных выбросов адреналина.

Если бы системные администраторы в организациях уделили немного внимания патч-менеджменту, один раз правильно настроив обновления ОС Windows, мы бы не видели в интернете «веселые картинки», на которых табличка с текстом “Oops, your files have been encrypted!” и номером биткоин-кошелька перекрывает экраны банкоматов и компьютеров следователей полиции.

castle14192801920500.jpg
Шифровальщики успешно атаковали не только рабочие станции, но и серверы, банкоматы, информационные табло и высокотехнологичное медицинское оборудование

Microsoft знала об уязвимости, которую используют шифровальщики, и закрыла ее заранее, еще в марте патчем MS17-010. Все, что должны делать администраторы – своевременно обновлять софт. Почему они этого не делают? Как правило, из самых лучших побуждений. Например потому, что «поймав» обновление, компьютер или сервер могут пожелать перезапуститься в самый неподходящий момент, создавая неудобства пользователям и даже приводя к сбоям в бизнес-процессах. Представляете оповещение «Для завершения обновления перезапустите систему» на карте погоды перед диктором, показывающим вам в новостях холодные фронты и антициклоны? Было в истории и такое.

Все эти «лучшие побуждения» администраторов на поверку оказывались обычной ленью и некомпетентностью, из-за которых обновления не были настроены должным образом. В результате компании несли убытки, СEO седели, CIO лишались премии, сисадмины обновляли резюме на Headhunter.

Президент Microsoft Брэд Смит по итогам атаки WannaCry писал в своем блоге, что ответственность за распространение шифровальщиков лежит в том числе и на пользователях, которые не обновляют свои системы. В организациях таким «пользователем» являются ИТ- и ИБ-службы, из-за халатности которых «компьютеры борются с новыми вирусами инструментами прошлого».

Что же нам теперь делать?

Надо сказать, что сама Microsoft умеет делать выводы из происходящих событий. Изучение проблем патч-менеджмента, точнее, его отсутствия в некоторых компаниях, привело к модернизации инструментов как собственно защиты от шифровальщиков (функция Windows Defender «Контролируемый доступ к папкам» в Windows 10), так и управления обновлениями ОС для администраторов.

Для того, чтобы эффективно управлять обновлениями, не тратить на это лишние силы и избежать нежелательных побочных эффектов, можно использовать различные средства управления и исправления: Центр обновления Windows, Центр обновления Windows для бизнеса, службы Windows Server Update Services, System Center Configuration Manager, Windows Analytics Upgrade Readiness и сторонние продукты.

Так, Центр обновления Windows для бизнеса позволяет администраторам подключать системы на рабочих станциях непосредственно к своей службе и поддерживать их в актуальном состоянии. Для настройки параметров, в том числе времени обновления Windows, можно использовать групповые политики или решения MDM, например Intune. Если для организации представляют проблему перезагрузки компьютеров после обновлений, их время можно настроить, задав параметр «период активности», в который система перезагружаться не будет.

Рекомендации по защите

Если администраторы в организациях – люди технически грамотные, то о большинстве частных пользователей это сложно сказать. Поэтому важно, чтобы они знали несколько правил защиты от шифровальщиков.

Не забывать устанавливать обновления. Почти все зловреды эксплуатируют старые уязвимости, давно известные вендорам, и они не проникнут в систему, своевременно закрытую патчем. А в Windows 10 есть дополнительные «плюшки»: каждую весну и осень Microsoft выкатывает большие обновления, существенно модернизирующие многие функциональные возможности ОС, в том числе защиту. Эта модель пришла на смену старой, когда существующая версия системы поддерживалась почти в неизменном виде либо обновлялась одним-двумя большими сервис-паками, а ей на смену каждые три-четыре года приходила совершенно новая версия.

Даже своевременно установленный патч не спасет, если пользователь сам решит запустить файл с вирусом или перейти по фишинговой ссылке. Поэтому все должны знать о последствиях таких ошибок.

Необходимо держать включенной надежную защиту. В последнее время Windows Defender входит в число лидеров по результатам тестирований независимых антивирусных лабораторий и считается надежным решением. Также нелишним будет ограничивать активность программ системными средствами.

Регулярно создавайте резервные копии и держите их отдельно, на другом компьютере или в облаке, если это не конфиденциальная информация. И тогда данным ничто не угрожает даже при столкновении с «угрозами нулевого дня», неизвестными защитным системам.

другие СТАТЬИ

Павел Ершов
главный операционный директор Microsoft в России

Стремительное развитие технологий привело к расширению возможностей и для киберпреступников: в настоящее время угрозы возникают все чаще, они приобретают новые формы и более широкий масштаб. Поэтому критически важно, особенно для бизнеса, пользоваться только самой актуальной версией ОС, которая способна адекватно отвечать на вызовы киберпреступников. Например, согласно исследованию Webroot, даже домашняя версия Windows 10 в два раза безопаснее Windows 7. Это обусловлено тем, что мы постоянно работаем над развитием функций и возможностей безопасности в Windows 10, добавляем новый инструментарий для противодействия новым видам атак. В Windows Defender Advanced Threat Protection для обнаружения и блокирования даже новых видов угроз используются прогрессивные алгоритмы машинного обучения, а не только статический сигнатурный метод. По итогам независимого исследования, за тестовый период в пять месяцев им не было пропущено ни одного образца вредоносных программ. Так вирус-вымогатель WannaCry, принесший бизнесу во всем мире убытки на сумму в более $4 млрд, не затронул компьютеры с Windows 10

Константин Кимельман
директор подразделения персональных систем, HP в России

Для полноценной защиты устройства, особенно когда речь идет о корпоративных данных, необходим комплексный подход. Система безопасности должна бесперебойно обеспечивать сохранность информации на всех этапах. Со своей стороны, HP обеспечивает надежную защиту своих устройств на аппаратном уровне, но она не может быть всеобъемлющей без операционной системы, обеспечивающей самые актуальные алгоритмы отражения любых атак. Только современные устройства в сочетании с новейшим программным обеспечением могут обеспечить всестороннюю защиту бизнес-данных компании

Виктория Тарантина
генеральный менеджер iRU

Для iRU, как производителя оборудования, важнейшей задачей является обеспечение стабильности работы наших устройств, которая гарантируется не только надежными комплектующими и высоким качеством сборки, но и совместимостью «железа» и ПО. В этой связи мы акцентируем внимание наших клиентов на том, что новые линейки процессоров предназначены для совместного использования с ОС Windows 10. Кроме того, для нас безусловным приоритетом является безопасность данных наших клиентов. Особенно это актуально для корпоративных сетей, где атака на один компьютер может привести к выходу из строя всех устройств в цепи, потере критических данных и денежных средств. Как производитель оборудования мы уделяем максимальное внимание безопасности, которая обеспечивается и на этапе авторизации и при работе самой системы, благодаря функционалу ОС Windows 10 Pro. Проактивные совместные действия производителей оборудования и программного обеспечения позволяют гарантировать корпоративным клиентам максимальную безопасность данных и высокую скорость работы, от которых во многом зависит успех самого бизнеса.

Олег Поддубный
директор по развитию корпоративного бизнеса «АСБИС»

Компания «АСБИС» Россия предустанавливает на свой продукт - интерактивные панели для бизнеса и образования Prestigio Multiboard – только операционную систему Windows 10 Pro. На то есть несколько причин. Во-первых, Windows 10 Pro позволяет полностью раскрыть функционал устройства и процессора Intel, полностью интегрируется в корпоративную сеть и позволяет без проблем и незамедлительно использовать привычные пользователю приложения для продуктивных совещаний и совместной работы. Во-вторых, на сегодняшний день Windows 10 Pro – это самая адаптивная ОС для решений с функциями Ink (цифровое перо) и Touch (количество одновременных касаний) Благодаря широкому функционалу системы, мы можем просто сказать клиентам: «Включите в розетку и сразу пользуйтесь» В третьих, если говорить об использовании панелей в образовании (детские сады, школы, вузы), то вопроса о выборе по сути не стоит – под другие ОС нет образовательного контента, который бы позволил извлекать из решения реальную практическую выгоду для учащихся. По нашим оценкам, средний уровень восприятия информации учащимися увеличивается при использовании интерактивных технологий до 37% И, наконец, нельзя не сказать о безопасности – выпускаемые Microsoft обновления реально делают Windows 10 Pro надежным защитником устройства.

Александр Буравлев
технический директор, «Аквариус»

«Аквариус» завершает обновление линеек своих клиентских систем в связи с переходом на новое поколение процессоров Intel и AMD. Новые процессоры предлагают нам на аппаратном уровне не только новый уровень производительности, но и новый уровень защиты как от программно-аппаратных сбоев, так и от злонамеренных действий хакеров. Все эти новые возможности можно реализовать только с Windows 10. Более того, многие из новых процессоров и чипсетов вообще не поддерживают какие-либо версии Windows, кроме 10. Сама Windows 10 также фокусируется на реализации повышения производительности и безопасности работы приложений на уровне операционной системы. Поэтому выбор новых процессоров и Windows 10 – это наиболее правильный выбор».

Александр Катаев
генеральный менеджер Lenovo в России

В условиях современного бизнеса нельзя отставать от последних технологических трендов. Безопасность, скорость и энергоэффективность – главное, к чему сейчас стремятся производители ПК нового поколения. Соответствуя высочайшим запросам современных пользователей, Lenovo в своих последних разработках поддерживает только новейшую операционную систему, чтобы гарантировать максимально высокий уровень скорости, надёжности и продуктивности устройств. Своевременно обновляя ОС, пользователи оценят новые возможности и продуктивность своих устройств, скорость и безопасность браузера, смогут решать свои задачи максимально эффективно и быть уверенными в безопасности своих данных

ПОЧЕМУ
WINDOWS 10 PRO?
ЗАЩИТА ОТ КИБЕРУГРОЗ
с Windows 10 Pro
Эволюция систем
безопасности Windows