Po chwili do pokoju wpada kierownik działu R&D:
- Co się dzieję, dlaczego nie odbierasz telefonów? Nie możemy pracować, nic nie działa!
- W nocy rozładowała mi się komórka, jeszcze nie zdążyłem jej naładować.
Zaraz za nim pojawia się szef produkcji.
Po jego minie widzę że nie jest dobrze.
- Mamy zaszyfrowane pliki !!!
Ransomware!!! Jest piątek, za parę godzin miałem rozpocząć weekend, to miał być spokojny dzień…

W poczcie znalazłem kilka maili z załącznikiem, którego nazwa mówi wszystko - “Invoice.pdf”. Wiem już że pół firmy leży, drugie pół nie może pracować, zaszyfrowane zasoby Sharepoint’cie i serwerach plików sprawiły że najbardziej obciążonym urządzeniem w całej firmie jest ekspres do kawy, do którego ustawiła się pokaźna kolejka.

Od czego zacząć, co zrobić? Mam załączniki z poczty, może VirusTotal coś mi podpowie. Wynik - 2/62, na dodatek nasz firmowy AV nie załapał się do szczęśliwej dwójki. Może SIEM? Niestety nigdy nie udało mi się go do końca skonfigurować, dodałem źródła logów, te które przyszły mi do głowy, na pisanie reguł niestety nie miałem czasu. O zasileniu go IOC już nie wspomnę. Wiem że do sieci dostał się poprzez pocztę. Nie mam Sandbox’a na “anty-spamie” a reguły YARA są w nowej wersji softu. Zrobiłbym aktualizację, gdyby doba miała 72h. Może znajdę coś na firewall’u? Nigdy nie włączyłem deszyfracji ruchu, pudełko jest za małe i nie radzi sobie wydajnościowo. Coś jednak widać - DoublePulsar. Ehhh poprawka była już dawno, niestety nie było czasu na instalację. Na szczęście przynajmniej kilka serwerów jest bezpiecznych, ostatnio przeniosłem je do DMZ’tu z sieci “/16”. Niestety serwer WSUS nie miał tyle szczęścia, nie wiem ilu stacji dotyczy problem. Może już ktoś coś o tym pisze? @malwarehunterteam zasypywany jest setkami tweet’ów. Jak widać nie jestem sam. Tylko jak to wytłumaczyć kierownictwu?…

To co właśnie przeczytaliście to tylko próbka mniej lub mam nadzieję bardziej udanej beletrystyki. Chciałbym żeby było w niej więcej fikcji niż prawdy. Niestety, pracując wiele lat w zawodzie a od ponad 8 lat zajmując się bezpieczeństwem sieci w Monolit IT, znam otaczające nas realia. Największym problemem nie jest brak wiedzy. “Admini” to bardzo często zapaleńcy, znający dobrze swój fach. Największym problemem jest chroniczny brak czasu. Firmy szybko się rozrastają, nadążyć musi za tym infrastruktura. Technologia musi nadążyć za potrzebami biznesu a nowe rozwiązania niosą za sobą nowe zagrożenia. Jak sobie z nimi radzić, które wybrać? Jak przebrnąć przez gąszcz rozwiązań lepszych lub gorszych? Mniej lub bardziej pasujących do naszych potrzeb. Rozwiązaniem może być współpraca z zewnętrzną firmą. Nie mówię tu o sprzedawcy, który chce nam sprzedać magiczne pudełko firmy XYZ, które rozwiąże wszystkie nasze problemy. Mówię o Integratorze, który przeanalizuje posiadane zasoby, zweryfikuje faktyczne potrzeby i wymagania, pomoże w tworzeniu planu tworzenia/modyfikowania infrastruktury. Integratorze, który wesprze nas w problemie. Jeśli trzeba w środku nocy ściągnie “kryzysowy zespół wsparcia” i co najważniejsze nie zostawi nas samych. Jeśli zaś zajdzie taka potrzeba może wspomóc nas w zarządzaniu lub monitorowaniu naszej infrastruktury.