2. Hírek
  3. Biztonság

Az antivírus sem véd, ha nem fut

Ha a védelmi eszközöket és a biztonsági megoldásokat nem a megfelelő módon használják, akkor mintha nem is lennének.

A Makay.net csapata tegnap bejegyzésben számolt be azokról a tapasztalatokról, melyeket olyan cégeknél gyűjtöttek be munkájuk során, amelyek zsarolóvírus áldozatai lettek – sajnos ez az incidenstípus egyre gyakoribb.

Nagy meglepetéssel tapasztalták, hogy a helyreállítás és az eset kivizsgálása után a vállalkozások nem akartak vírusvédelmi terméket vásárolni, ugyanis volt már ilyen nekik, sőt ezeket rendszeresen karban is tartották. De akkor hogyan lehetséges, hogy sikeres támadást hajtottak végre ellenük?

A Makay.net szakemberei két fontos következtetés tudtak levonni.

Leállítás

Az egyik az, hogy az említett vállalkozások informatikai infrastruktúrájának vizsgálatakor kiderült, hogy az üzemeltetők megfelelő antivírusokat alkalmaztak a munkaállomásokon és a szervereken a kártékony kódok ellen, valamint ezeket rendszeren frissítették, csakhogy kiderült, hogy a védelmi megoldások a támadások ideje alatt nem futottak.

Nem az üzemeltetők állították le, majd felejtették el újból elindítani és nem is valamilyen váratlan meghibásodás eredménye a leállás. Maguk a támadók léptek be manuálisan a rendszerekbe és állították le az antivírusok valós idejű védelmét, vagy az egész szoftvert – jellemzően a helyi idő szerinti hajnali órákban.

Az érintett szervezetek ugyanis olyan, jellemzően belsős használatra szánt hálózati szolgáltatásokat (távoli asztal, fájlszerver) nyitottak ki az internet felé, amik alapjáraton nem védettek a kibertámadásokkal szemben, így megfelelő tűzfalas védelem hiányában tulajdonképpen csak az nem próbálkozhatott a betöréssel, aki nem akart.

Ráadásul ezeket a szolgáltatásokat jellemzően olyan partnereknek nyitották ki, akik nem szívesen vacakolnak erős jelszavakkal, így a gyenge jelszavak használata, valamint a kétfaktoros beléptetés és a brute force próbálgatásos támadások elleni védelem hiánya azt eredményezte, hogy a távoli támadók úgy jártak ki-be a rendszerekben, mintha ők is rendszergazdák lennének, akiknek joguk van a védelem deaktiválására.

Annyi a biztonsági mentéseknek is

A másik tipikus probléma, hogy a biztonsági mentéseket nem a backup szerver végzi, hanem a mentendő kiszolgáló. Ez a gyakorlatban azt jelenti, hogy a legtöbb helyen nem a backup szerver jelentkezik be (meghatározott időközönként) a mentendő kiszolgálóra és húzza le az anyagokat, hanem a mentendő kiszolgáló végzi el a másolást ütemezetten egy folyamatosan csatolt hálózati tárhelyre.

Ez a hibás eljárás viszont csak a kiszolgáló meghibásodása esetén bekövetkező adatvesztés ellen véd, egy zsarolóvírus-támadás esetén a folyamatosan csatolt hálózati tárhelyet a kártevő ugyanolyan tárhelynek látja, mint a rendszer összes, szintén titkosításra kerülő meghajtóját. Magyarán a biztonsági mentések is áldozatul esnek.

A teljes bejegyzés a Makay.net oldalán olvasható.

Azóta történt

Előzmények