Já nechápu jedinou věc.Proč nemá OS a nebo Antivir možnost blokovat program pokud provede x operací za určitý čas.Já dřive měl na unixovém FS serveru limit operací a pokud byl dosažen, svazek se odpojil. Tehdy se bojovalo proti stahování dat a nebo hromadnému mazání.Jinak z praxe jsem řešil take několik napadení a všude ESET v plné verzi a bylo mu to uplně jedno. Jinak jak bojuji dnes,dnes už používám antivir ten defaultni (škoda peněz za Eseta) ve Win10 se zapnutou ochranou proti romsware. Uživatele mají user práva a sdílená data beži na Synology se stínovou kopii na druhý svazek. Jinak RDP lze ošetřit utilitou BFGuard ten hlídá log a ve firewallu zablokuje IP pokud je x špatných pokusů... Bohužel Microsoft tohle moc nedotahl a 2auth a nebo autoblok na RDP je skoro nemožný. Jinak na RDP se dostávájí tou popsanou chybou a tak heslo nepomůže.VPN také nelze použít vždy a tak pomůže leda Remote Desktop Gateway na Https. Někdy nemáte možnost klientům dodadat a nastavit VPN ,ale přesto potřebují RDP.Jedníné co mě zajímá je jak se zachová Sharepoint či OneDrive v cloudu. Prý to lze obnovit ,ale v praxi jsem netestoval...
" publikovaného rozhraní RDP na veřejnou IP adresu "tak to je prasarna na ntou
Podle screeshotů používají Kaspersky Antivirová řešení, které zjevně nepomohlo. Já jsem cryptovací ramsonware řešil dvakrát a tam zase selhal ESET.Každá situace je jiná. Ale myslíte, že by pro tyto situace stálo připlatit na řešení typu Sophos které stojí dvakrát tolik? Případně něco jiného?
Pokud se dosud nic nestalo, tak peníze od vedení nedostaneš. Mnohdy ani poté.
HyperV servery byly v doméně? A do hypervisoru serveru se útočník dostal pomocí hesla administrátora nebo nějakou chybou MS?
Ani nam se to na sichte nevyhlo, je to sice uz nejaky patek, nezavisle se to dostalo na dvou PC - vysledek zasifrovane lokalni data na techto PC (smula), Home adresare a spolecne sitova adresare obnovene ze zalohy, takze NASTESTI zadna vetsi skoda. To i presto, ze jsme za firewallem s antivirem, dlaism centralnim antivirem v siti i na jednotlivych PC. Zadny otevreny email s prilohou - jsou zariznuty hned na antispamu.Kdyz jsem pak hledal, odkud by se to tak mohlo dostat, tak jedine spolecne u obou PC bylo, ze v tu chvili byli uzivatele na internetu a v logu na firewallu jsem nasel, ze oba, (nebylo to v jeden den), jako posledni (dle casu) meli v logu ten zasr*ny vymeny reklamni system (Bbelements.com). nebo jak se to presne jmenuje.Ten jsem tehdy jako prvni krok natvrdo zariznul na firewallu a musim zaklepat, od te doby ani tuk. Cimz netvrdim, ze to bylo 100% ono, ale zatim je klid.
1. aktualizace Microsoft OS (zatím zdarma)2. plnohodnotný aktualizovaný antivir (např. Defender - zdarma)3. vhodně nastavená GPO (zdarma)ad 3 - Nechápu, že to tu zatím nikdo nezmínil … přitom ransomware funguje na aplikační/sw vrstvě … a to je šikovný windows admin schopen snadno, rychle a hlavně efektivně nasadit v relativně krátké době, ať už na pár počítačích nebo enterprise! 4. doporučuji především na file serverech doinstalovat FSRM (taky zdarma)https://blog.netwrix.com/2016/04/11/ransomware-pro... Pokud admin není idiot (admin/admin) nebo insider, tak 99% ochranu máte hotovou a můžete se pustit do složitějších (časově/finančně/technologických) ochran.Pro začínající adminy bych začal tady : https://www.govcert.cz/cs/informacni-servis/dopo...
Názor byl 1× upraven, naposled 21. 12. 2019 00:33
Chyba number one:Je tam Windows, nejamatérčtější OS na této planetě.
Každý ransomware je trochu jiný. Moje první zkušenost bylo napadení přes otevřený port používaný pro RDP. Podařilo se jim potom dostat na jeden z účtů s hodně chabým heslem. Ten účet měl naštěstí omezený přístup na intranet, takže se podařilo data vrátit ze záloh beze ztrát. Nastavil jsem tedy maximum 3 pokusy o přihlášení za 15 minut, povinně alespoň 7 místná hesla, zavřel jsem porty a od té doby nic. Chytřejšímu typu útoku by přirozeně tohle minimalistické opatření nezabránilo.
Pekny clanok. Hodit RDP dostupne priamo z internetu sa mi zda ako velky fail. Ked uz tak dostali po prstoch, tak by mali zvazit bezpecnostny audit. Najdu vam zabudnute slabiny a odporucia dalsie vylepsenia. VLANy maju zmysel, ale treba aj firewall medzi nimi. Pripojenie do firmy bez pouzitia vpnky je vazny fail.
Jaký je rozdíl mezi VPN na SW, ke kterému člověk nemůže mít absolutní důvěru OpenVPN a přes RDP, kdy je do internetu otevřen příjem jen pro jednu veřejnou IP adresu, ze které se obsluha připojuje (pravidlo na FW) ?Děkuji za odpověď.
Defacto v tom, ze RDP vs VPN+RDP znamena dalsi vrstvu zabezpeceni.Tzn. implementacni chyba / bug v jednom, nebo druhem, neznamena automaticky kompromitovani systemu. Nic neni dokonale, ale vrstvy se skladat na sebe daji celkem snadno.Vlastni priklad - mam vystevene SSHcko na VIPce do netu - pristup na SSH je blokovan port-knocker daemonem (dokud "nezaklepes" na spravne porty [vcetne spravneho poradi] - nic neodpovid) - sshcko spawnuje container v dockeru s shellem mapovanym na uid/gid (only non-root useri) - docker bezi bez root prav (a tez useri nejsou v docker grupe.. dalo to trochu prace, ale jde to nakonec snadno)Neni to bullet-proof, ale jsou to minimalne 3-4 vrtsvy navrch, ktere ztezuji prunik... a v tom je pointa meho prispevku 😉
Je vidět, že vzdělání a porozumění technologiím ještě z nikoho nedělá dobrého IT admina.
Přijde mi smutné, že někdo popíše na férovku chyby, které udělal, a jak se s tím popral, a diskuze je na téma "je to debil".
Nikde nepíšu (a ani si nemyslím), že je to debil.
Názor byl 1× upraven, naposled 20. 12. 2019 09:37
Stačí si jenom představit kolik děr je nejenom ve widlích ale taky v Intelech a zistíme že dnešním internetovým uživatelům windowsů pomůže jedině Věra Pohlová.
kolegovi došlo místo tak neaktualizoval 😃 tak to se vyplatí srát na to na čem zaměstnanec dělá a jestli mu třeba náhodou nedošlo místo 😃 dobře vám tak
Ať jste připojeni kdekoliv, můžete si být už řadu let jisti, že na vaší IP adrese každou chvilku někdo zkouší porty. A pokud najde např, RDP nebo FTP, tak se do toho teprve opře.
Naposledy, když jsem na to koukal, tak to bylo průměrně ~64kb/s toku na IP adrese, kde vůbec nic neběželo.Což znamená, že kdybych dneska použil k připojení na Internet 56kbit modem a měl veřejnou adresu, tak si moc nešrtnu, protože mi linku ucpe ten balast 😀
Někteří to zkouší sofistikovaně - jistá IP adresa pravidelně ve stejnou dobu atakuje porty routeru - pokaždé jiné - zřejmě to má někde zapsáno, co už zkoušela.A je velice vytrvalá.
Autor si sype popel na hlavu opakovaně. Jedna věc je přiznání problému, ale to, co je tam zmíněno dále, to člověk nestačí zírat. A ještě si po těch milionech chyb na každém kroku (podle popisu se nejedná o zanedbání jedné, nebo dvou věcí, ale celé škály) napíše, že "Celá firma jsme v podstatě IT profesionálové".Pokud je pravda to, co bylo napsáno, tak rozhodně nejste.A pokud je pravda to, co je napsáno i pod článkem v komentářích, tak to už snad nejde ani komentovat.Zdar Max
Z velkého korporátu vím (3k+ zaměstnanců), že si většina firem na bezpečnost hraje, ale zároveň se tu a tam ohne pro jisté potřeby.Příklad: vyměníme všechny obsolete mašiny včetně OS za novější včetně jen lehce opožděného updatování (W10), šifrujou se ntb (desktopy nikoliv), jenže většina má primitivní hesla, protože je vynucená obměna co 2 měsíce, k tomu do bitlockeru má většina velmi slabé hesla a samozřejmě se některé ty stroje tahají do domácnosti. Sice tam žádnej takovejhle problém nebyl, ale vím i o strojích, kde si uživatel něco doinstaloval a nebo se nějak vyšmelil "admin" účet.Zkrátka, nemyslím si, že je to řešené dobře. Včetně šetření peněz a existence velmi starého HW, který sice v síti není, ale probíhá tam stejně výměna dat.O bezpečností politice současného zaměstnavatele se raději zmiňovat nebudu, to je ještě horší (i když zálohování mají asi podchycené lépe).
Nicomu som nerozumel lebo nie som IT. Tak nam radsej povedzte nam bfu ako sa branit. Ja uz zalohujem na domaci cloud, ale obavam sa ze je to malo. Lebo je spojeny s pocitacom kablom. Samozrejme firewall a antivirus mam. Komodo. Zatial bez problemom len dokedy.
Začni tím že se naučíš jazyk
Ze mu chybi čárky a háčky? No a co?
Chybí ti tam čárka, pako.
Jaj to bolí - zakázkový vývoj webových aplikací, ale web není ani responsivni. To myslím, že o firmě řekne asi tak vše...
Podle nadpisu to vypadá že byla zašifrována redakce živě
Jo, já myslel, že každému normálně myslícímu člověku dojdou souvislosti, k nám jako ke všem, kteří (jsme) byli napadeni. Místo rýpání by potěšila reakce k tématu.
Nechci být za každou cenu za prudiče, ale přes to bych si dovolil poznamenat, že pokud má někdo takový systém, že lze napadenou pracovní stanicí zavirovat celou infrasktrukturu, tak asi udělal někde chybu a ta jízda po ostří nože jednou skončila tak, jak musela.
Samozrejme, ale takovych systemu jsou mraky, skoro vsechny male podniky do 50 zamestnancum
To není omluva, obzvláště, když o sobě prohlašují : "Celá firma jsme v podstatě IT profesionálové".Zdar Max
Nic jako IT profesionál neexistuje.
Tohle prohlášení jsem nějak minul, ale i když jsou to IT profesionálové, neznamená to, že mají perfektně pokrytý celý obor.Stačí, když se sejde sto profesionálů v oboru stavebnictví, všichni experti na statiku, postaví mrakodrap, a ten sice nikdy nespadne, ale třeba bude naprosto neobyvatelný kvůli chybějící vzduchotechnice :)
Ke mně nijak, pravidelně tak jak se má zálohuji. Tzn., že v mém případě bude napadena pouze běžící mašina (s ničím jiným nepropojená - na to nejsem zvyklý, pro poskytovatele OS chci zůstat anonymním uživatelem), tedy disk s OS a zbývající s DATY (odděluji fyzicky ne pomocí oddílů). Všechny jsou však pravidelně off-line zazálohované sektor/sektor (s kontrolou a nevynucenou obnovou - jiné umístění), takže zálohy a samozřejmě také archiv budou vždy OK. > Opravdu cenná data, na kterých mi extrémně záleží „proháním” v souladu se smlouvami klientů pouze na mašinách bez fyzického přístupu k síti a bez možnosti připojit jakékoliv externí médium, takže zde nehrozí absolutně nic kromě HW selhání.
"Opravdu cenná data, na kterých mi extrémně záleží „proháním” v souladu se smlouvami klientů pouze na mašinách bez fyzického přístupu k síti a bez možnosti připojit jakékoliv externí médium, takže zde nehrozí absolutně nic kromě HW selhání."Neda mi to, zeptam se. Jak se ta data na ty zabezpecene masiny dostanou? A jak se pak zpracovana data dostanou zase ven?
asi disketamiB-]
Dolph to opisuje z obrazovky, na toho si nikdo nepřijde.
No, dobrý je taky dělat pravidelné testy. Účet admin s heslem admin by se našel hned.... RDP obecně není dobrý nápad. Být pouze na Windoze taky není dobrý nápad.
"Bylo otázkou hodin, nikoliv dnů, než došlo k průstřelu skrze zapomenutý lokální účet jednoho z nich – admin s heslem admin" to je vsetko co potrebujete vediet o "profesionalite" administratorov v tej firme, komentovat ostatne veci je uplne zbytocne.
Ten clanek ma byt uprimnym poucenim. Necht hodi kamenem ten, kdo nikdy nic nezanedbal.
To máš sice pravdu, ale pak bych ve stejném článku neproklamoval jak je firma plná IT profesionálů, protože ten článek primárně dokazuje opak (a to říkám s vědomím toho, že jsem skopal taky pár věcí). Ale vpn pro přístup mám i na domácím nasu a to se nepovažuji za profesionála v administraci stanic / serveru nebo hardeningu sítě. To, že někdo zapomene admin/admin se jako stát může, ale to že někoho netrkne proč má tenhle účet mít povoleny vzdálený přístup už ne. A tak by se dalo pokračovat. Bohužel dneska každý kdo umí nastavit šifrování na routeru si o sobě myslí jaký je profík a pak to takto dopadá...Props že s tím šel dotyčný ven.
Profesionála poznáte i podle toho, že má ve svém IT totální bordel, teda organizovaný chaos.Kovářova kobyla chodí bosa. Tak to vždycky bylo a bude.
Člověk, který má ve svém IT bordel, je buď bordelář nebo amatér. Nikoli profesionál. Je to takhle jednoduché. Není to jen o něm a to, že si uškodí sobě, ale stejnému riziku vystavuje i své klienty - zajímavým dotazem by bylo jestli toto není nutné hlásit i v rámci GDPR a potencionálního úniku zákazníckých dat. Kdo ví, kam to ten SW v mezičase pošle.
To, ze intelligent zvladne aj bordel neznamena, ze ked mate bordel tak ste intelligent, ste len amater a bordelar tako ako aj "IT profesionali" s tej firmy. Jednoduche ako facka tie biblicke bludy o "hodeni kamenom" si nechajte pre niekoho kto tomu very. BTW, nic take ako organizovany chaos v IT nie je.
Viděl jste někdy nějakou vývojářskou firmičku? Zdá se mi, že tyhle kecy o pořádku jsou odtržené od reality. Třeba dokumentace, kolik projektů jste viděl s kompletně hotovou dokumentací? Máte doma zpracovaný disaster recovery plan? A podobně. Jako jistě, někde je to fakt cajk, někde je to alespoň papírově cajk (to je ale stejně dost k ničemu), ale většinou je to prostě tak nějak, aby se neřeklo.Jinak mě asi nezajímá, co o mně soudíte; důležité je, co soudí zákazníci, a ti jsou spokojení. Rozhodně nejsem dokonalý, ale svoje místo na trhu si zasloužím, takže asi úplně od věci nejsem.
Podívej já chápu co se snažíš jako říct. Ale jsou tu velká ale:a) říkáš malá firma, ale malá firma, která dělá IT a honosí se tím jak je profi (dokonce v tom samém článku, kde se nechala 2x hacknout). Taková firma není banda právníků, účetních, kteří o IT nic nevědí a toto se jim stát asi může. Podívej se na LI autora - vizonář, ředitel vesmíru, člověk by čekal služby na úrovni, ne?b) když už instaluješ servery stylem "next next finish", nemáš oddělené sítě, všude používáš admina (což chápu, že lze přičíst na vrub té domnělé živelnosti) a někdo/co ti téměř kompletně wipne infrastrukturu, tak namísto toho, aby ses chytil za nos a zavolal někoho, kdo tomu rozumím, ale ne, něco uděláš a za dva dny jsi skoro tam kde jsi začal :)ale pořád si myslíš jaký jsi profík a znalec (asi podle toho, že uprostřed D&R vymýšlíš jaké nové hot technologie instalovat, když ani neumíš spravovat ty současné). Pokud by se nesnažili mít tu auru okolo jací jsou to borci, myslím, že by i reakce byla mnohem smířlivější...
preco? moze tam byt kopec profikov IT programatorov, ale toto asi bola chyba IT bezpecakov , a to nie su obvykle tie iste osoby.
Sorry od kohokoli kdo si říká it profesionál čekám, že absolutní základy security ví a chápe(ať už v IT děláš analýzu, vyvoj nebo tam nosíš kafe). A člověk, který se živí návrhem a vývojem webových aplikací (což firma dle webu dělá) a když se připojuje k firemním prostředkum děje se tak bez vpn a s účtem admin/admin a přijde mu to NORMÁLNÍ, mi přijde že je hodně slabý na duchu a pokud to není přeškolení horník, tak by se měl zamyslet nad správnou volbou povolání...
ja robim vyvojara 12 rokov a takej firme ako ta z clanku by som nedal ani chodnik pozametat.
Bly by někdo ochoten poradit se zabezpečím proti ransomwaru? Naše spřátelená firma právě byla zasažena a zaplatila výkupné (0,5 BTC). V podstatě máme shodnou strukturu sítě: 1.) lokální Windows Server kde máme účetní software(Pohoda) a 3 pc které jsou připojeny do stejné sítě a odkud si účetní program spuští. Je pravdou, že data (hlavně zálohy účetního programu) ochráním tím že je zašifruji a odešlu např. cloud úložitě? Článek jsem četl, ale jsem lajk a je to pro mě španělská nebo spíš čínská vesnice ... Díky za názor.
Len zo zvedavosti: decryptli to po zaplateni?
Zjavne, NIE ked tu ziada o pomoc
Žádá o pomoc pro sebe, ale platila jiná firma.
Po zaplatení výkupného odkódovali data?
Ahoj, napiš mi na info@exact.cz.
Každýho kdo jim zaplatí bych nakopal do zadku. S jídlem roste chuť a ty hajzlové to budou zkoušet o to intezivněji. Hlavně na to budou mít hromadu peněz.
Dobrý den ,napište mi mail na obchod@encefalon.cz já vám pomůžu vyřešit ten problém se zabezpečením a nastavit ochrany napište telefon a já vám zavolám ,mám na starosti mnoho menších firem a již jsem toto řešil vícekrát
Pěkný souhrn napsaný tak, aby to i laik pochopil, ale v podobné infrastruktuře bych vše navrhoval úplně jinak, a to od začátku. Je mi záhadou jak v dnešní době vůbec někdo může otevřít RDP do internetu, minimálně bez další bezpečnostní vrstvy. Jsou daleko bezpečnější a lepší způsoby jak dané servery spravovat vzdáleně mimo interní síť a přistupovat k jakýmkoliv zdrojů v interní síti.
O firmě v článku mnoho nevím, ale působí to na mě jako vývojářská firma, která není kdovíjak veliká.Tedy do prvního incidentu nebyla potřeba to kdovíjak řešit, skoro všichni jsou power useři, zálohování je, klienti jsou oddělení a incident se jich nedotkl. To je docela dobrý výsledek.Ve spoustě malých firem je to těžký punk. Takhle z dálky se to soudí snadno, ale docela chápu, jak k takovým situacím dochází, a všechna čest autorovi jedna za to, jak dobře to zvládli, a jednak za to, že o tom napsal článek; přestože musel otevřeně přiznat pochybení, kterých se dopustili.
Nikde v článku nevidím zmínku o NGFW, o iNGFW už vůbec ne. Taky žádná informace o NTA nebo IPS zařízení v síti. Tohle je základní problém všech. O mikrosegmentaci pro virtuální prostřední radši mluvit ani nebudu.EDIT: Co je inteligentní firewall, popř. NTA zařízení:Unknown Malware DetectionHillstone has built a proprietary engine that has analyzed close to a million “known” malware samples. Each sample has been classified and characterized based on multiple dimensions that describe its actions, assets and attributes. In a production environment, when new malware is encountered, it is also analyzed, characterized and classified. Then it is compared to the database of known malware samples that have already been analyzed. The closer the unknown sample matches a known sample – the higher the confidence level that it is a variant of a known malware sample. This process is called “statistical clustering” and provides an accurate method for identifying new malware.Abnormal Behavior DetectionHillstone’s Abnormal Behavior engine continuously monitors the network to learn what normal network traffic looks like for that particular day, time, and month; providing alerts when network activity exceeds calculated thresholds. It uses a 50+ dimensional array to calculate normal network traffic from layer L4-L7, called “behavior modeling.” In addition, it has been trained with real hacking tools to ensure that it will readily recognize malicious activity. These techniques limit false positives and provide the user with multiple opportunities to stop an attack.Rich Forensic AnalysisHillstone delivers a new way of visualizing and analyzing attacks. Every action taken by a potentially malicious code is automatically linked to steps within the “Kill Chain.” It is complemented with rich forensic information that enables the security analyst to determine the origin of the attack, the severity of the attack, and the methodology employed. Hillstone also provides packet capture files, which, when combined with syslog and traffic logs, provide the administrator with a wealth of ancillary information. In addition, user data such as websites visited, applications used, and the risk level of the applications, bring the exploits into sharp focus. Most importantly, Hillstone identifies the exact firewall policy that allowed the attacker to get through the firewall.Preemptive MitigationIn addition to the ability to make a policy change to prevent an attack, Hillstone has built-in several automatic mitigation features. These features consist of pre-defined templates that automatically slow-down or block an attack if suspicious behavior is detected. The administrator can modify the templates to limit the bandwidth or the number of sessions available to the attacker. He can also adjust the constraints he places on network resources based on the type of attack and the severity level. In cases where the attack is critical and the confidence level is high, mitigation can include a complete blockage of all network resources. And, if a template does not exist or is not active, the administrator can quickly set up a temporary mitigation for that event.
Názor byl 1× upraven, naposled 19. 12. 2019 18:56
Vzhledem k tomu, kolik tahle řešení stojí, kolik stojí lidi, co je ovládají, a nakonec, nezlobte se, co to je často za ojebávače a lháře, si myslím, že do malých firem je to prostě totální overkill, který navíc dost možná bude k ničemu.Když si pomyslím, kolik takových superchytrých krabic jsem ve firmách potkal, kolik jich bylo prostě v defaultu a nikdo z nich nic nesledoval, a kolik za ně utratily...Tahle firma si třeba uvědomila, že se jim takové řešení vyplatí. A nebo zjistili, že stávající řešení stačí, protože výpadek je stál sto tisíc, bez dalších následků, zatímco chytrá krabice by je stála jeden a půl milionu plus dvě stě tisíc ročně za člověka, co se o to umí starat.
V tomhle konkrétním případě pokud byli ztráty pár tisíc nebo pokud je firma malá, ano může se někomu zdát řešení jako drahé. Až do pořádného výpadku a úniku dat. O implementaci a monitoringu/nastavení zařízení se bavit nebudu - jedná se o chybu člověka, nikoliv zařízení jak bylo nastavené. Nevím jaké chytré krabičky jste viděl, ale nic profesionálního na enterprise úrovni to určitě nebylo. Stejně tak jako píšete o lidech co stojí a ovládají, to taky není pravda. U profesionálního řešení - zaměstnanec/správce může být certifikován přímo výrobcem na "obsluhu a nastavování" které je potřeba.
Tato reseni jsou skvela - dokud jsou penize na lidi a jejich (za)skoleni. Kolikrat ja uz jsem slysel vetu "my to logujeme, ale na ty logy nikdo nema cas koukat", pripadne "na tyhle alerty nemame kapacitu"...
Nikdo nic kontrolovat nemusí. Můžou se nastavit různá upozornění mailem, push notifikace přes appku v telefonu a nebo jeden monitor kde běží centrální přehled.
Ale jiste. Stejne jako to funguje u ruznych bezpecnostnich produktu desitky let (az na ty notifikace do mobilu, driv to byly SMS :) Ale ty maily nebo notifikace musi *nekomu* chodit. Pokud jsou to notifikace na vybity mobil v supliku nebo maily na ktere nikdo nekouka, tak je cely system k nicemu.
Ale to pak je o hlouposti lidí, ne o bezpečnostním řešení. Řešení jsou, ať už levnější nebo dražší, ale pokud někdo nekoná, když má, ať firma nebrečí že jejich zařízení je neochránilo. V některých případech je zapotřebí lidská interakce, naštěstí ve spousta případech lze nastavit migitace.
Každá bezpečnost je o mitigaci lidské blbosti - a vždy je kritickým limitem časová kapacita kvalifikované obsluhy.
Videl jsem a spravoval dost drahe krabice, ale jen parkrat jsem to videl dotazene do konce. Dokonce jsem jedno, byt dost primitivni reseni, vyvinul.Jak pisu, tam, kde se to nasazuje, se to dela vetsinou proto, aby se mohla zaskrtnout polozka v seznamu a papiry byly cajk. A podle toho to pak vypada. A stoji to fakt kruty penize, to, co jsem rok spravoval, bylo 39 sond za 12 milionu pro jednu vetsi ceskou sit. A musim rict, ze me to hodne bavilo.Ale sebechytrejsi reseni neprekona lidskou hloupost (kterou disponujeme vsichni).
Flowmon? :)Zdar Max
Jo 😁
Také nasazujeme, jelikož nemám time na normální řešení.Zdar Max
Benešovská nemocnice, snad nevyzradním nic tajného, byla nakažena cíleně, nešlo o náhodný útok. Je samozřejmě známý i ten ransomware, který byl použit.Taky jsem zažil ve firmě a není to nic příjemného. Zdroj nákazy jsem nenašel. Ale když zjistíte, že vlastně nemáte ani emaily, ve kterých máte sepsaný disaster recovery plan, nemáte vůbec žádná firemní data, abyste věděli, odkud začít, no je to studená sprcha.Zálohovali jsme dvěma různými metodami na dvě různá místa, z toho jedna záloha se ukázala jako naprosto nefunkční už delší čas (moje chyba). Stalo se to ve čtvrtek večer, poprvé spát jsem šel v sobotu, plně obnovený provoz byl asi po týdnu...Výborný tréning, když si člověk uvědomí, jak velké měl štěstí, že šlo jen o náhodný útok. Kdyby nás tehdy napadl někdo zevnitř, dost možná bych nezachránil ani byte.
Jenže většinou člověk neví co očekávat dokud se něco nestane. Můžete si myslet že máte data aspoň zálohovaná, ale stejně se ukáže že bylo něco někde špatně. Mi tak vytanuly na mysl záloha na kazety 🙂 Kazetu kterou máte nadepsanou čtvrtek a máte jí v šuplíku vedle serveru vám kryptovirus nezašifruje.
Přesně tak.A i když si člověk myslí, že udělal všechno pro to, aby se nemohlo nic stát, nakonec zjsití, že toho dost zanedbal.Třeba mít disaster recovery plan v emailu je prostě hloupost. Jenže člověk si to neuvědomí, respektive já to tehdy nevěděl.Pokud by byl kryptovirus šikovný, například OneHalf to uměl, tak sice zašifruje disk, ale zároveň transparentně on demand dešifruje. A třeba teprve po půl roce přestane dešifrovat. To pak znamená, že máte zašifrované i zálohy půl roku zpět... ale jinak máte pravdu. U zálohování a archivování je třeba přemýšlet, co všechno se může stát.Pro domácí použití mohou být užitečné snapshoty, taky mě to doma už zachránilo, respektive mé přátelé, co ke mně "zálohovali" a měli síťový disk připojený nonstop, takže si ransomware smlsnul i na něm.
Ehm, kazetové pásky, to jsme takhle obnovovlai data od zákazníka z HP pásek, pokaždé pásková jednotka při obnově odešla a vzala s sebou i pásku - vystřídalo se 5 jednotek od HP... Tak jsme to HPOčku hodili na hrb a nějak to zvládli. Proto asi dnes se místo pásek používají v zálohovacích jednotkách defakto HDD ve zvláštních krytech.
Pásky se používají pořád a ještě dlouho používat budou.Kromě výhod životnosti, mechanické odolnosti a skladovatelnosti mají taky bezkonkurenční poměr cena/kapacita. Samozřejmě až ve chvíli, kdy potřebujete zálohovat desítky TB, do té doby se vám koupě knihovny nevyplatí.Velké podniky využívají knihovny. Páskové mechaniky jsou spíš pro nadšence nebo tam, kde se celá záloha vejde na jednu pásku.LTO-8 páska má 12 TB a stojí cca $100 USD. I když má omezený počet přepisů, pokud potřebujete zálohovat hodně dat, je to nejlepší řešení. Samozřejmě se to kombinuje s disky (D2D2T), protože LTO nemá úplně rychlý seek. Takže například poslední záloha je na HDD, ostatní zálohy pak na LTO.
No tak soudruh Filip v tom má jasno - za nakažení můžou chvilkaři (se divím, že ještě nezmínil Sorose, neziskovky obecně či islamisty - zřejmě nechtěl "vystřílet" všechny argumenty svým prokremelským kolegovům PiTomiovi, VK juniorovi či dokonce samotnému hradnímu pánovi ... 😀 )
Článek bez pochyby zajímavý, ale než přehled toho co mají ve firmě tak by mě zajímalo, jak došlo k tomu napadení. Vzdálená plocha vystavená na internet sice není nejlepší nápad, ale pokud je tam účet s rozumným heslem tak by to mělo být relativně bezpečné nebo se pletu? Ten druhý případ je jasný, lokální účet se slabým heslem a ztráty tedy také jen lokální. Ale ten první nechápu, jak se ten vir dostal k účtu doménového admina?
prave ze ani rozumne heslo te neochrani (pokud nemas zaktualizovano) - viz. napr BlueKeephttps://siliconangle.com/2019/11/03/attack-targeti...
Aktualizace na toto vyšla už na jaře a i tak se týkala Windows 7 a níže. V tom soupisu se píše, že kolega neměl aktualizováno kvůli plnému disku, takže nepředpokládám že šlo o roky nezáplatované XP, ale o momentální problém.
to vies.. firma plna it profikov, ale neaktulizuju, nepouzivaju antivir a na z vonku dostupnych sluzbach nechavaju default hesla.
Antivir nepomůže, prakticky vyzkoušeno.
tak treba pres tohle - CVE-2019-1181/1182?https://msrc-blog.microsoft.com/2019/08/13/patch-new-worm...
No, neochrání, když se tam objeví díra, ale když po obnově! měl někdo na počítači účet admin s heslem admin, tak je to na pár facek.
A přitom stačilo tak málo a zadarmo - mít infrastrukturu, Hypervisory, zálohování atd. na oddělené VLANě.
Názor byl 1× upraven, naposled 19. 12. 2019 13:27
Síťaře, kteří VLAN používají k zajištění bezpečnosti, bych házek do kanálů a zavíral poklopy.Fakt nemáte rozum. VLAN slouží pro administrativní oddělení sítí, s bezpečností nemají nic společného.
Další takovej akurátní. 😀 Já jsem napsal, že toto je to jedinné řešení? jasně, Offsite kopie záloh, do cloudu atd. Možností je mrak. Takže příště brzdi, nebo se ptej, než začneš soudit. Nazdar.
Názor byl 1× upraven, naposled 19. 12. 2019 14:34
Jak jediné řešení? Upozornil jsem na to, že VLAN není bezpečnostní opatření. Pokud jste hledal vhodného termita pro obecné řešení, pak to byl asi termit "oddělená síť".Ovšem nemyslím si, že by to kdovíjak pomohlo, protože i tak bude platit, že přes RDP se k Hyper-V bude hlásit admin, jehož počítač byl v tomto případě nejpravděpodobnějším zdrojem nákazy.
Mno, pokud vlana není routovaná, tak je to slušné zabezpečení :)Jinak samotná vlan není moc o bezpečnosti, od toho jsou doplňkový věci jako filtry na L3 switchich apod. V kombinaci toho všeho už by se dalo mluvit o zabezpečení.Zdar Max
Já ti nevím, ale bez VLAN, to mnohdy ani nejde.
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.