Baza wiedzy
Rano obudził mnie budzik. Przebiłem się przez poranne korki i dotarłem do biura. Wspomagany potrójnym espresso rozpocząłem lekturę maili, które wpadły przez noc do mojej skrzynki. Porcja niestrawnych reklam znów dała o sobie znać. Maili jest jednak więcej niż zwykle. Coś się dzieję? Nikt jeszcze nie dzwonił.
Po chwili do pokoju wpada kierownik działu R&D:
- Co się dzieję, dlaczego nie odbierasz telefonów? Nie możemy pracować, nic nie działa!
- W nocy rozładowała mi się komórka, jeszcze nie zdążyłem jej naładować.
Zaraz za nim pojawia się szef produkcji.
Po jego minie widzę że nie jest dobrze.
- Mamy zaszyfrowane pliki !!!
Ransomware!!! Jest piątek, za parę godzin miałem rozpocząć weekend, to miał być spokojny dzień…
W poczcie znalazłem kilka maili z załącznikiem, którego nazwa mówi wszystko - “Invoice.pdf”. Wiem już że pół firmy leży, drugie pół nie może pracować, zaszyfrowane zasoby Sharepoint’cie i serwerach plików sprawiły że najbardziej obciążonym urządzeniem w całej firmie jest ekspres do kawy, do którego ustawiła się pokaźna kolejka.
Od czego zacząć, co zrobić? Mam załączniki z poczty, może VirusTotal coś mi podpowie. Wynik - 2/62, na dodatek nasz firmowy AV nie załapał się do szczęśliwej dwójki. Może SIEM? Niestety nigdy nie udało mi się go do końca skonfigurować, dodałem źródła logów, te które przyszły mi do głowy, na pisanie reguł niestety nie miałem czasu. O zasileniu go IOC już nie wspomnę. Wiem że do sieci dostał się poprzez pocztę. Nie mam Sandbox’a na “anty-spamie” a reguły YARA są w nowej wersji softu. Zrobiłbym aktualizację, gdyby doba miała 72h. Może znajdę coś na firewall’u? Nigdy nie włączyłem deszyfracji ruchu, pudełko jest za małe i nie radzi sobie wydajnościowo. Coś jednak widać - DoublePulsar. Ehhh poprawka była już dawno, niestety nie było czasu na instalację. Na szczęście przynajmniej kilka serwerów jest bezpiecznych, ostatnio przeniosłem je do DMZ’tu z sieci “/16”. Niestety serwer WSUS nie miał tyle szczęścia, nie wiem ilu stacji dotyczy problem. Może już ktoś coś o tym pisze? @malwarehunterteam zasypywany jest setkami tweet’ów. Jak widać nie jestem sam. Tylko jak to wytłumaczyć kierownictwu?…
To co właśnie przeczytaliście to tylko próbka mniej lub mam nadzieję bardziej udanej beletrystyki. Chciałbym żeby było w niej więcej fikcji niż prawdy. Niestety, pracując wiele lat w zawodzie a od ponad 8 lat zajmując się bezpieczeństwem sieci w Monolit IT, znam otaczające nas realia. Największym problemem nie jest brak wiedzy. “Admini” to bardzo często zapaleńcy, znający dobrze swój fach. Największym problemem jest chroniczny brak czasu. Firmy szybko się rozrastają, nadążyć musi za tym infrastruktura. Technologia musi nadążyć za potrzebami biznesu a nowe rozwiązania niosą za sobą nowe zagrożenia. Jak sobie z nimi radzić, które wybrać? Jak przebrnąć przez gąszcz rozwiązań lepszych lub gorszych? Mniej lub bardziej pasujących do naszych potrzeb. Rozwiązaniem może być współpraca z zewnętrzną firmą. Nie mówię tu o sprzedawcy, który chce nam sprzedać magiczne pudełko firmy XYZ, które rozwiąże wszystkie nasze problemy. Mówię o Integratorze, który przeanalizuje posiadane zasoby, zweryfikuje faktyczne potrzeby i wymagania, pomoże w tworzeniu planu tworzenia/modyfikowania infrastruktury. Integratorze, który wesprze nas w problemie. Jeśli trzeba w środku nocy ściągnie “kryzysowy zespół wsparcia” i co najważniejsze nie zostawi nas samych. Jeśli zaś zajdzie taka potrzeba może wspomóc nas w zarządzaniu lub monitorowaniu naszej infrastruktury.
Zainteresował Cię ten wpis?
Chcesz dowiedzieć się więcej?
Tomasz Pietraś
Od ponad 14 lat zajmuje się bezpieczeństwem informatycznym. Przez lata zajmował się zarządzaniem oraz projektowaniem systemów bezpieczeństwa, brał udział w międzynarodowych projektach z zakresu bezpieczeństw IT.
tomasz.piertas(at)monolit-it.pl
Zobacz wszystkie artykuły danego autora »Ostatnie:
Najpopularniejsze TAGi:
Tagi
W swoim czasie linia produktowa stacjonarnych komputerów biznesowych Dell OptiPlex dzieliła się na kilka różnych modeli, a te z kolei podzielono na dodatkowe modele w danej linii produktowej opartej na niezbyt jasnej numeracji. Dla osoby nie obeznanej z nazewnictwem był to spory problem aby odnaleźć się w gąszczu dostępnych wersji.
O rozwiązaniach IoT pisze się najczęściej w kontekście przemysłu 4.0, czy inteligentnych miast. Rozwiązanie NetQM for IoT jest z sukcesem wdrażane w jednostkach samorządu terytorialnego jako System Monitorowania i Sterowania Siecią Kanalizacji Ciśnieniowej.
Firma Dell od samego początku charakteryzowała się dużą dbałością w kwestii zakresu gwarancyjnego dla swoich produktów. Nie inaczej wygląda sytuacja dziś i można zaryzykować stwierdzenie, że jest to niejako wyróżnik tej organizacji na tle jej konkurencji.
W ostatnim czasie pojawiło się kilka ciekawych rozwiązań zastosowanych przez producentów notebooków. Większość z nich jest jak najbardziej dostosowana do potrzeb potencjalnych użytkowników i wydaje się, że trafi prosto pod strzechy.
Od dawna mówi się o usługach czy przemyśle 4.0 w kontekście biznesu. Coraz częściej jednak rozmawia się również o usługach 4.0 skierowanych do samorządów... Przykład? System monitorowania i sterowania siecią kanalizacji niskociśnieniowej w oparciu o rozwiązanie NetQM for IoT.
Miniony rok, podobnie jak poprzednie lata, cechował się dużą zmiennością i zawirowaniami w różnych sferach naszego życia, w tym między innymi dotyczącymi cyberbezpieczeństwa. Znana firma analityczno-badawcza jaką jest Gartner, wykazała siedem głównych trendów związanych z bezpieczeństwem IT w roku 2022.
Bezpieczeństwo odmieniane przez wszystkie przypadki jest obecnie jedną z najczęściej podnoszonych kwestii w świecie IT. Dodatkowo w erze postpandemicznej, która spowodowała przejście do pracy zdalnej lub hybrydowej, doszło do decentralizacji ludzi i maszyn, a co za tym idzie, wzmogło konieczność skutecznej kontroli dostępu uprzywilejowanego.
Jeden z naszych klientów zwrócił się do nas w sprawie przedstawienia propozycji zakupu urządzeń, które umożliwiłyby przekształcenie w formę cyfrową jego bardzo dużych zasobów bibliotecznych.
Wzmocnione notebooki czy tez tablety to dosyć specyficzny wycinek rynku IT. Sprzęt ten często charakteryzuje się gorszymi parametrami technicznymi niż topowe produkty (choć to tez powoli ulega zmianie), ale ma coś czego typowo biznesowy sprzęt nie ma i mieć nie będzie.