none
Analisi del grado di protezione rispetto a malware/virus di tipo cryptolocker RRS feed

  • Domanda

  • Un saluto a tutti,
    in azienda abbiamo deciso di far fare una valutazione sul grado di protezione che abbiamo rispetto a malware come il cryptolocker.
    Prima di chiedere una consulenza esterna volevo chiedere un vs parere.
    La nostra rete conta 80 PC e 4 server tutti fisici.
    C'è un antivirus di tipo corporate (penso si possa dire è SEP sempre aggiornato).
    La rete di dominio è basata su SBS2011 e aggiornamenti automatici da WSUS server.
    I server sono tutti win2008r2 e 2012r2 (tranne uno, poi spiego).
    Tutti gli end-user sono utenti standard (non sono amministratori) e usano office 2010 (outlkok 2010 con exchange di SBS)
    La posta proveniente dall'esterno passa da un ISP che fa un buon controllo SPAM; noi scarichiamo la posta in arrivo con un POP connector per exchange
    La rete verso esterno è protetta da un cluster firewall hardware.
    C'è il blocco applicazioni e device (fatto dal SEP) configurato per il blocco usb mass storage e dei cd e della applicazione autorun.inf
    Ho i backup a nastro (il backup a nastro copre circa il 50% di tutto il backuppabile) e i backup a files su un NAS
    (il backup a file fa le copie di tutto), entrambi coprono fino a 5 giorni.
    Eseguo poi il backup con wbadmin (immagine totale di tipo bare metal) giornaliero per i server e mensile per tutti i pc.

    La mia preoccupazione è che usiamo un file server (che è l'unico ancora win2003 ma a giorni sarà un win2008r) che mette a disposizione una share aziedale alla quale tutti fanno riferimento.
    Ovviamente ogni utente o gruppo di utenti ha permessi ben precisi per accedere alle sole cartelle di competenza presenti nella share. E' la classica share di tipo "Company" che racchiude il 99,9% del patrimonio informatico aziendale (documenti, file etc..) Quella share è anche mappata come disco (esempio disco K:)
    Gli utenti sono abbastanza bravi e attenti in particolare con gli allegati di posta.
    Ci sono comunque un certo numero di utenti (tipicamente dirigenti e reponsabile) che possono disporre dello sblocco della chiavetta usb mass storage...!
    Fatto questo quadro vi chiedo cosa pensate di questa configurazione e indicativamente il grado di
    esposizione verso il cryptolocker che intravedete e se vorrete darmi qualche consiglio ve ne sarò grato.

    Bob

    sabato 16 gennaio 2016 16:11

Risposte

  • -Verifica bene i permessi delle share dei backup, dovrebbero essere scrivibili dall'admin e backup user

    -Controlla i dimensionamenti delle shadow copies e le loro temporizzazioni, se ben configurate potrebbero essere utili per recuperare i dati criptati senza alcun bisogno di accedere ai backup.

    -Impedisci usando le GPO l'avvio di eseguibili da percorsi come appdata o temp, che sono al 99% le posizioni da cui i malaware/ransomware vengono eseguiti.

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Contrassegnato come risposta Bob245 mercoledì 20 gennaio 2016 07:54
    • Modificato GastoneCanali martedì 2 febbraio 2016 17:14
    domenica 17 gennaio 2016 21:52
  • Ringrazio in questa risposta sia Gastone che Fabrizio per i consigli forniti.
    La cosa più inquietante è che usiamo pesantemente la share aziendale mappata e rinunciare alla mappatura al momento è praticamente impossibile. D'altra parte penso che un malware potrebbe facilmente individuare delle share accessibili e iniziare a utilizzarle...

    Hai ragione,  è sicuramente molto più difficile scrivere l'algoritmo di criptazione che trovare delle share disponibili in rete, il passo da unità mappata a share di rete non può essere molto lontano... anche se come dice giustamente Fabrizio"pensate più che altro per un utente privato" in più la chiave di criptazione è legata al computer infettato e non può essere reperita da altri pc (questo può spingere l'"ideatore a NON "usare" le share )

    Chiedo solo un chiarimento ulteriore relativo al consiglio su "shadow copes"

    -Controlla i dimensionamenti delle shadow copies e le loro temporizzazioni, se ben configurate potrebbero essere utili per recuperare i dati criptati senza alcun bisogno di accedere ai backup.

    Puoi darmi qualche indicazione in più a cosa ti riferisci e come si gestiscono per questi casi?

    Uno dei principali motivi di richiesta d’aiuto al supporto IT delle aziende (o al collega più esperto) è la necessità di recuperare file importanti sovrascritti da nuove versioni, cancellati o, aggiungo io, CRIPTATI

    Consentire agli utenti di recuperare i propri file in autonomia con le Shadow Copies of Shared Folders.

    Abilitare e configurare le copie shadow di cartelle condivise

    ciao Gas



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Modificato GastoneCanali martedì 19 gennaio 2016 21:30
    • Contrassegnato come risposta Bob245 mercoledì 20 gennaio 2016 07:53
    martedì 19 gennaio 2016 17:17

Tutte le risposte

  • Secondo me per incrementare la protezione potresti:

    - Rimuovere, se possibile, la mappatura da tutte le share e utilizzare piuttosto collegamenti a percorsi UNC.

    - Introdurre un buon software antivirus su Exchange per la scansione attiva di tutta la posta in entrata. E' un prodotto separato da SEP, non so se già è stato implementato.

    - Introdurre a monte un proxy con liste di filtraggio aggiornate periodicamente e scansione malware sul traffico HTTP (solitamente sono servizi in abbonamento).

    - Conservare offline una copia di tutti i backup (poiché i malware si evolvono rapidamente solo delle copie dei backup posizionate offline possono realmente rappresentare una sicurezza).

    domenica 17 gennaio 2016 11:31
  • -Verifica bene i permessi delle share dei backup, dovrebbero essere scrivibili dall'admin e backup user

    -Controlla i dimensionamenti delle shadow copies e le loro temporizzazioni, se ben configurate potrebbero essere utili per recuperare i dati criptati senza alcun bisogno di accedere ai backup.

    -Impedisci usando le GPO l'avvio di eseguibili da percorsi come appdata o temp, che sono al 99% le posizioni da cui i malaware/ransomware vengono eseguiti.

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Contrassegnato come risposta Bob245 mercoledì 20 gennaio 2016 07:54
    • Modificato GastoneCanali martedì 2 febbraio 2016 17:14
    domenica 17 gennaio 2016 21:52
  • Ringrazio in questa risposta sia Gastone che Fabrizio per i consigli forniti.
    La cosa più inquietante è che usiamo pesantemente la share aziendale mappata e rinunciare alla mappatura al momento è praticamente impossibile. D'altra parte penso che un malware potrebbe facilmente individuare delle share accessibili e iniziare a utilizzarle...
    Chiedo solo un chiarimento ulteriore relativo al consiglio su "shadow copes"

    -Controlla i dimensionamenti delle shadow copies e le loro temporizzazioni, se ben configurate potrebbero essere utili per recuperare i dati criptati senza alcun bisogno di accedere ai backup.

    Puoi darmi qualche indicazione in più a cosa ti riferisci e come si gestiscono per questi casi?
    Grazie ancora

    bob

    martedì 19 gennaio 2016 15:15
  • La cosa più inquietante è che usiamo pesantemente la share aziendale mappata e rinunciare alla mappatura al momento è praticamente impossibile. D'altra parte penso che un malware potrebbe facilmente individuare delle share accessibili e iniziare a utilizzarle...

    Ovviamente un malware può comunque trovare le share accessibili, ma è più complesso rispetto ad una risorsa già mappata. Alcune vecchie versioni di questi malware non fanno comunque quel genere di scansioni perché sono pensate più che altro per un utente privato che ha tutti i suoi dati personali localmente. Se la lettera di unità non ti serve per ragioni particolari (ad esempio software gestionali che non supportano percorsi UNC, ecc...) non vedo disagi ad utilizzare in alternativa un semplice collegamento.


    martedì 19 gennaio 2016 15:40
  • Ringrazio in questa risposta sia Gastone che Fabrizio per i consigli forniti.
    La cosa più inquietante è che usiamo pesantemente la share aziendale mappata e rinunciare alla mappatura al momento è praticamente impossibile. D'altra parte penso che un malware potrebbe facilmente individuare delle share accessibili e iniziare a utilizzarle...

    Hai ragione,  è sicuramente molto più difficile scrivere l'algoritmo di criptazione che trovare delle share disponibili in rete, il passo da unità mappata a share di rete non può essere molto lontano... anche se come dice giustamente Fabrizio"pensate più che altro per un utente privato" in più la chiave di criptazione è legata al computer infettato e non può essere reperita da altri pc (questo può spingere l'"ideatore a NON "usare" le share )

    Chiedo solo un chiarimento ulteriore relativo al consiglio su "shadow copes"

    -Controlla i dimensionamenti delle shadow copies e le loro temporizzazioni, se ben configurate potrebbero essere utili per recuperare i dati criptati senza alcun bisogno di accedere ai backup.

    Puoi darmi qualche indicazione in più a cosa ti riferisci e come si gestiscono per questi casi?

    Uno dei principali motivi di richiesta d’aiuto al supporto IT delle aziende (o al collega più esperto) è la necessità di recuperare file importanti sovrascritti da nuove versioni, cancellati o, aggiungo io, CRIPTATI

    Consentire agli utenti di recuperare i propri file in autonomia con le Shadow Copies of Shared Folders.

    Abilitare e configurare le copie shadow di cartelle condivise

    ciao Gas



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Modificato GastoneCanali martedì 19 gennaio 2016 21:30
    • Contrassegnato come risposta Bob245 mercoledì 20 gennaio 2016 07:53
    martedì 19 gennaio 2016 17:17
  • Abbiamo un sacco di applicazioni access create nel tempo da un collega. Le applicazioni usano il sistema BE-FE (Back-End/Front-End) e tutti i collegamenti riferiscono al BE con l'indicazione del disco mappato.....Qui pensare ad un aggiornamento a tappeto è cosa da valutare bene. A breve cambierà il File server aziendale e potrebbe essere l'occasione per fare i cambiamenti. Resta però il dubbio che sempre a breve i ransomware potrebbero specializzarsi anche per le share. Quindi direi che è bene avere buone contromisure anche con le share mappate. Grazie veramente per questi preziosi consigli!!
    BOB



    • Modificato Bob245 mercoledì 20 gennaio 2016 08:03
    mercoledì 20 gennaio 2016 07:46
  • Accipicchia che ignoranza (mia). Questa cosa delle shadow copies sui volumi relativamente alle share, non la conoscevo per niente. Me la studio per bene e la implemento subito. Grande cosa!
    Sperando di non essere troppo fuori argomento (altrimenti apro altra discussione), sai se a livello client debbo sempre installare il "Previous Versions Client" o nei pc win7/win10 è già presente?

    Grazie!!

    mercoledì 20 gennaio 2016 07:53