Mida teha lunavararünde korral?

 

Varundustarkvara pakkuja Veeami hiljutise uuringu kohaselt on 76% ettevõtetest langenud 12 kuu jooksul lunavararünde ohvriks, kusjuures 60% juhtus seda rohkem kui kord. 24% hinnangul pole rünnakuid esinenud, kuid pigem võib arvata, et nad ei ole neist lihtsalt teadlikud. Datafoxi tegevjuht Marko Külaots ja infoturbe juht Janar Randväli annavad nõu, mida teha lunavararünde korral.

 

Kui 2015. aastal jäi Veeami andmetel kahe lunavararünde vahele ülemaailmselt keskmiselt 120 sekundit, siis eelmiseks aastaks oli see aeg kahanenud 11 sekundile. Kokku tekitati lunavararünnetega kahju 20 miljardit USA dollarit, mis on 4 korda rohkem kui neli aastat varem. Ka Datafoxi enda kogemus näitab, et piltlikult öeldes käiakse ukselinki IT-süsteemides pidevalt logistamas lootuses, et äkki on uks korralikult lukustamata.

 

Valmistu kaitseks enne rünnakut

Lunavara- või mõnd muud liiki küberrünne võib tunduda stiihiline sündmus, kuid kindlasti tuleb selleks valmistuda, sest tõsisem rünnakukatse on ainult aja küsimus. Esiteks peaks igal ettevõttel olema majasisesene infoturbe ja andmetaaste spetsialist või väline ekspert, kes on juba eelnevalt teadlik firma IT-süsteemide ja andmevarunduse detailidest. Ründe korral ei ole enam aega turult infoturbe partnerit otsida ega teda IT-protsessidega kurssi viia. 

 

Tuleb mõelda varusuhtluskanalite peale, sest näiteks kui meiliserver on krüpteeritud, ei õnnestu seda kasutada ka ründe korral abi saamiseks. Kuna e-post on sageli esmane kontakt IT-tootjate abikeskustega suhtlemisel, peaks neid teavitama ka varuaadressidest (Google, Hotmail vms), mida ettevõte võib kasutada. Eraldi teema on see, kuidas tõendada abikeskusele, et varuaadressilt kirjutab ikka õige isik, mitte konto üle võtnud kurikael. Valideerimiseks võib kasutada telefoni, nii et abikeskus saab kirja saatnud kontaktile üle helistada ja veenduda, et ikka õige isik saatis varuaadressilt kirja. Kõikvõimalikud abinumbrid peaksid kindlasti olema mobiiltelefoni salvestatud, sest kui lunavaraga nakatatakse ka ettevõtte koostööpartnerite andmebaas, ei õnnestu sealt numbreid kätte saada.

 

Eelnevalt tuleks paika panna, millistest rünnetest teavitatakse riigiasutusi. Eestis tegeleb küberintsidentidega peamiselt Riigi Infosüsteemi Ameti (RIA) vastav osakond CERT-EE, kust saab ka nõu edasise tegutsemise kohta. Kui ründega võis kaasneda andmeleke, tuleb teavitada Andmekaitse Inspektsiooni, tõsisema ründe korral tuleks esitada kuriteoteade ka politseile. Arvestada tuleb seda, et politsei võib lunavaraga krüpteeritud serverid asitõendina kaasa võtta ning seetõttu peaks süsteemide taastamiseks olema eelnevalt välja valitud varuasukohad. Kuna serverite ja muude IT-seadmete tarneajad on praegu väga pikad, on kõige mõistlikum eelistada mõnda pilvekeskkonda, mille kasutamine ettevõtte IT-süsteemide majutamiseks peaks olema ka varem testitud. 

 

Eemalda kõik võrgust ja kontrolli enne taastamist varukoopiat

Ründe korral tuleks kiiresti kõik IT-süsteemid internetivõrgust eemaldada, sest enamasti on pahalaste eesmärgiks enne serverite krüpteerimist ka võimalikult palju andmeid varastada. Koheselt ei tasuks IT-süsteeme varundusest taastada, sest ka varukoopiad võivad olla lunavaraga nakatatud isegi siis, kui nad hetkel on krüpteerimata. Esmane rünne võidi toime panna juba nädalate eest ning kuna pahalase eesmärgiks on tekitada võimalikult palju varjatud ligipääse süsteemidesse, võivad ka varukoopiad olla tiksuvad kellapommid, kuhu häkker on jätnud endale tagauksi. Kui varukoopiaid ilma põhjalikult kontrollimata andmetaasteks kasutada, võib häkkeril olla koheselt uuesti ligipääs IT-süsteemidesse, et need mõne aja möödudes uuesti krüpteerida. Oluline on kasutada varukoopiate kontrolliks mitut muud erinevat lahendust ning mitte jääda lootma senisele turvatarkvarale, mis korra juba alt vedas.

 

Olukorra taastamise tähtaeg on mõistlik pakkuda realistlik. Kui pidevalt küsitakse raporteid, siis IT-meeskonnal kriisi lahendamiseks aega ei jäägi. Kommunikatsiooniga peaks tegelema kommunikatsioonijuht ning esmane teavitus ei peakski olema väga detailne. Oluline on varundusfailid ja puhastatud serverid mitme turvarakendusega rahulikult üle kontrollida ning taastatud süsteemid esialgu karantiinis hoida enne, kui neile täielikku juurdepääsu võimaldada. Tuleks täpselt aru saada, mis pahavaraga rünne tehti ning milliste turvaaukude kaudu see õnnestus, et need enne live’iminekut sulgeda. Vastasel juhul on eduka ründe kordumine taastatud süsteemides ainult aja küsimus.

 

Tüüpiline lunavararünne näeb välja nagu alloleval joonisel. Esmalt saab arvutikasutaja nakatatud e-kirja, klikib lingil või avab sellele lisatud faili, luues võimaluse oma konto ülevõtmiseks. Pahalane püüab saada ülevõetud kontole administraatoriõigused, et võtta üle võimalikult palju IT-süsteeme või selle osasid. Seejärel krüpteeritakse andmed, millele sageli eelneb ka mastaapne andmevargus.

 

lunavara artikkel Veeam 0822

 

 

 

 

 

 

 

 

 

 

 

 

 

Taolise ründe vastu aitab esmalt sissetulevate kirjade kontroll viirusetõrjega, nimeserveri logide monitooring, proksiserveri kasutamine ja kasutajaseadmetesse paigaldatud turvatarkvara, millel peaks kindlasti olema lunavara kaitse (näiteks kübeturbelahenduste pakkuja Sophose tooted). Kasutajakonto ülevõtmise hoiab enamasti ära mitmeastmeline autentimine (MFA), õiguste laiendamise vastu kaitseb administraatorikontode paroolilahendus (LAPS) ning pahavara edasilevimist takistab võrkude füüsiline eristamine või segmenteerimine vastavalt nende rollile, näiteks külaliste WiFI on eraldi kontorivõrgust ja viimane omakorda eraldatud varundussüsteemist. Viimasena tuleb pidevalt kontrollida, et varukoopiaid pole keegi muutnud ja testida korrapäraselt ka andmetaastet.

 

Veeami Backup & Replication tarkvaraversioon 12 võimaldab lunavararünnakute korral kiiremini andmeid taastada. Nimelt saab iga varukoopia määrata muutmatuks (immutable), olgu see siis Veeami andmehoidlas, kohapealses serveris või pilvekeskkonnas. Immutable varukoopiat ei saa üle kirjutada, kustutada ega sellele pahavara ja tagauksi lisada.

 

Andmevarunduse 3-2-1-0 reegel

Andmevarunduse tähtsust ei tohi mingil juhul alahinnata, sest kui ettevõte peab oma süsteemide kaitsmisel õnnestuma 24/7/365, siis pahalastel piisab vaid ühest õnnestunud ründest. Seetõttu on varukoopia viimane kaitseliin, mis on paljude lunavararünnete järel päästnud päeva, mis muidu oleks lõppenud kõikide äriandmete kadumisega. Seetõttu tuleks andmete varundamisel lähtuda 3-2-1-0 reeglist. See tähendab vähemalt kolme varukoopiat andmetest (eile, nädal tagasi, kuu tagasi) kahel eri andmekandjal (teine kõvaketas või server, lindiseade, pilvekeskkond), millest üks on teises füüsilises asukohas (offline, pilv) või muutmatu ning andmete taastamise testimisel on ilmnenud 0 viga.

 

 

Soovid nõu enda kaitsmiseks küberrünnete eest?

Võta ühendust: [email protected]

 

 

 

Loe lisaks:

Datafox Software Engineering on võtnud fookusesse äriprotsesside digitaliseerimise

Uued varunduslahendused Veeamilt ja Dellilt ärikriitiliste andmete kaitsmiseks