"Как мы защищались от шифровальщика, и сколько это нам стоило"

/
/ "Как мы защищались от шифровальщика, и сколько это нам стоило"

Данная статья имеет информационно-развлекательный характер.

Автор статьи - Виталий Колпаков
Специалист департамента интеграции 


Невыдуманная история

14.04.2020 9:42:01 Отдел бухгалтерии

Дело было теплым апрельским утром, ничто не предвещало беды для компании Н, как вдруг Некто (Зоя Васильевна) из отдела бухгалтерии открыла письмо о профориентационных курсах, пришедших всему отделу.

В письме было приглашение на бесплатные курсы профориентации для специалистов самого высокого уровня. Решено - нужно участвовать и пройти регистрацию.



20.04.2020 14:00:33

Менеджер отдела закупок увидел сбои в работе всей системы документаоборота и 1С. По привычке оставил заявку техническому отделу, и, получив очередной ответ "разберемся" стал дальше проверять данные поставщиков, но уже с меньшей продуктивностью.


24.04.2020 16:30:52

Добрая половина офиса жалуется на работу компьютеров и потерю данных. Дело усугубляется остановкой работы отделов HR. ИТ служба понимает, что эти выходные она проводит в офисе.


27.04.2020 10:10:01

Работа некоторых отделов заморожена. Пятая часть ПК вышла из строя. Новости дошли до верхнего руководства.


Разбор этапов

Разберем, что же произошло с компанией Н.

Как многие догадались, внедрение зловреда произошло по почте через отдел бухгалтерии. На самом деле сотрудник любого отдела может стать «точкой входа» вредоносного ПО. После чего, начнутся этапы заражения. Давайте опишу их вкратце. В целом, зоопарк вирусов очень разнообразный, но алгоритмы похожи.

Итак:

Для начала идентифицируем вид вирусного ПО. Симптом потери данных и снижение скорости работы присущи двум видам вирусов: RootKit и BothNet.

Для справки - RootKit - ПО, которое предоставляет доступ к управлению компьютером злоумышленникам.

BothNet - ПО, которое соединяет зараженный ПК в сеть, которая используется для DDos атак. BothNet «крадет» часть ресурсов зараженного ПК для осуществления этих атак.

Пропажа данных у HR, как раз показывает управление данными сторонним пользователем. Скорее всего эти данные будут проданы теневым биржам, для оформления микрокредитов или точечной рекламной рассылки.

ЭТАП 0

Этот этап является самым долгим, он может проходить до 6 месяцев, в зависимости от защищенности всей инфраструктуры. Во время этого периода в организацию внедряются ПО, собирающее целевую информацию. Оценивается масштаб финансового ущерба. Собирается статистика и финансовые показатели организации: периоды работы сисадмина, защищенность сегментов сети, фактический оборот компании, зависимость от определенных сервисов и увеличения атакуемых сотрудников, для целевого фишинга и соц. инжиниринга.


ЭТАП 1

В письме злоумышленника была прикреплена презентация PDF. PDF файлы могут содержать вложения с вирусами. Заражение происходит в момент открытия файлов.

Инфицирование и копирование кода вируса по системе.


ЭТАП 2

“Один из возможных”.

Подмена API и получения RooT-прав (управления ПК). Если проще, то это стадия, когда управление переходит в руки злодеев.


ЭТАП 3

Получение данных о работниках.

Получение платежной информации.

Получение информации о заказчиках и поставщиках.

Извлечение и продажа данной информации.


ЭТАП 4 (терминальный)

Уничтожение системных файлов и внедрение посторонних ПО для управления hardaware-ной части ПК. Отключение системы охлаждения и механизма тепловой блокировки системы. В следствии перегрева - выход из строя части ПК, где RootKit внедрил часть вредоносного кода в hardware.

Последний этап используется злоумышленником чаще в заказных атаках. Подобными атаками пользуются конкуренты для остановки производства или нарушения технологических цепочек.

Насколько глубоко?

Теперь прикинем во сколько обошлись вышеперечисленные события и оценим масштабы поражения.

Данные представлены в виде таблицы:



Памятка зараженным

Вот большинство признаков заражения, если верить статье:


Чего не хватает современной защите

Существует много точек входа вредоносного ПО и злоумышленников, и данная статья наверняка не осветит и 10% всех интернет угроз, но определенно точно расскажет, что можно предпринять чтобы защититься от 70% всех угроз.

А вот чего. Большинство сисадминов и пользователей думают так: “Раз я КУПИЛ себе антивирус - я нахожусь, как за каменной стеной”. Формально это так и есть, только проблема стоит шире вирусного заражения, особенно в корпоративной среде. Сегодня самой серьезной проблемой стоит не само вредоносное ПО, а предлог к его запуску. Этими материями заведует “социальный инжинирнг", для непросвещенных - набор методов психологического/социального воздействия на пользователя (читайте сам Хабр/Вики). Если коротко, Вас вынуждают действовать в нужном для злодея направлении, ссылаясь на внешние причины.

Отвечая на вопрос, как же мне защититься от Petya? (установку и использование антивирусов опустим), разобьём ответ на две части. Для людей/ для компаний.

Для людей:

Вряд ли защита от DDos атак или Supply-chain атак будут актуальны для обычных пользователей ПК.




Для компаний:

Рынок решений ИБ сейчас действительно большой. Среди огромного выбора можно запутаться что необходимо, а что пустая трата денег.


Все остальное будет полезно при сохранении очень дорогой информации, однако это не является необходимым минимумом. (см. ниже) 

Системы предотвращения утечек данных/фильтрация трафика/Резервное копирование и восстановление/Архивирование данных/Многофункциональные комплексы/Антишпионское ПО/Средства шифрования/Сканеры уязвимости/.

/SIEM-системы/Безопасность КИИ и ГосСОПКА/Защита приложений/Web Application Firewall/CDN/Балансировка нагрузки/Защита баз данных/Защита данных/Контроль доступа

Пишите - подскажу, что подойдет лучше всего.




Вместо концовки

Вот как могли бы развиваться события, если бы каждая точка входа была защищена

Альтернативная вселенная «Земля #4827».


14.04.2020 9:42:01 Отдел бухгалтерии

Зоя Васильевна перешла по ссылке, но посредством «песочницы» и антивируса вредоносный файл-презентация не ушел дальше письма, и был сразу занесен в карантин.


20.04.2020 14:00:33 Отдел закупок

Работает в прежнем режиме.


24.04.2020 16:30:52 Отдел IT

Работает в прежнем режиме.


27.04.2020 10:10:01

Работает в прежнем режиме Отдел HR.



ИНТЕРЕСНЫЕ МАТЕРИАЛЫ В IT-СФЕРЕ
СМОТРЕТЬ ВСЕ
Реальная цена оптимизации IT-расходов

Часть 1: Герои оптимизации IT расходов

СТАТИСТИКА УСПЕШНОСТИ ВНЕДРЕНИЙ

Автор статьи - Виталий Колпаков 
Специалист по проектам "Департамента интеграции".
Превью YouTube 1280x720 пикс.jpeg

Согласно опубликованным данным, средняя стоимость завершенных проектов в сфере информационных технологий в 2014 году составила 189% от первоначальных оценок (CHAOS Manifesto 2014: Value versus Success&the Orthogonals/ The Standish Group International 2014).



Источник: http://iosrjournals.org/iosr-jce/papers/Vol16-issue2/Version- 12/F0162122940.pdf?roistat_visit=210366

Мало что изменилось в 2019-2020. Любая оптимизация подразумевает под собой изменения инфраструктуры маленькие или большие (модернизация). Данный цикл статей будет посвящен как раз модернизациям IT-инфраструктуры. Эти статьи не будут выходить за рамки темы IT–инжиниринга, но в свою очередь всесторонне опишут практически каждую из «систем» любой компании . Возможно ты найдешь множество интересных статей в нашем блоге olly.ru/blog.
Сегодня речь пойдет о самом главном- сердце любого бизнеса - ДЕНЬГАХ, а конкретнее о затратах на IT внутри компании.
Как и все остальное в компании, IT-инфраструктура требует затрат. В большинстве компаний IT занимает первые места по расходам. После организации труда, только информационные системы и технологии вносят ощутимый вклад в производительность и прибыльность компаний.

ДЕЙСТВУЮЩИЕ ЛИЦА

ВЛАДЕЛЕЦ – не одно и тоже, что и CEO- тот кто создал компанию, старается максимально сэкономить на каждом пункте затрат, без потери функционала. Прямыми оппонентами Владельца являются CEO и CIO т.к. рынок требует постоянных изменений для удержания позиций, простой экономии недостаточно.

CEO (Управляющий директор) – любая модернизация должна давать эффект, выраженный в фин. показателях. В разрезе IT, CEO может находиться с CIO в постоянном диалоге о целесообразности внедрения той или иной системы. Успешность или провал внедрения подтверждается CFO.

CIO (ИТ-директор) – поддержание работоспособности без простоев – динамичная задача. Компания постоянно растет и изменяется. Огромный арсенал появляющихся сервисов и служб могут решить те же самые задачи, меньшими силами. CIO должен быть готов к изменениям. Архитектура компании должна быть готова к изменениям.

CFO (Финансовый директор) - на долю CFO выпала задача подводить итоги и давать однозначную оценку всему, что происходит в компании. 

Показатели затрат:

Масштаб расходов компании может быть кардинально разным. Но все компании объединяет виды расходов, а именно капитальные (CAPEX) и операционные (OPEX). Расшифруем более подробно, что за ними стоит.

CAPEX

· Обновление и модернизация оборудования
· Программное обеспечение
· Запасные детали
· Инструменты
· Курсы и обучающие материалы IT персонала

OPEX

· Обслуживающий персонал (зарплата, отчисления в фонды, медстраховка и т. п.)
· Электричество, в том числе и на обслуживающие системы (пример вентиляция)
· ПО и сервисы (по подписке)
· Аутсорс
· Проценты кредитного или лизингового оборудования

У тех и у других свои преимущества и недостатки.

CAPEX

Плюсы:
· Очевидным плюсом для всех является правило – «купил и забыл»
Минусы:
· Обслуживание и настройка ложится на плечи покупателя
· ЛВС и коммуникации

OPEX

Плюсы: 

 · Очевидным плюсом является гибкость организации. У вас появился крупный проект и нужно нарастить штат, докупаешь нужное количество и лицензий и идешь в бой. Непредвиденные обстоятельства ужали бюджет проекта, оперативно сокращаешь штат и кол-во лицензий. 

· Фин. Директора любят этот показатель за его предсказуемость.

Минусы:
· Не всегда стоимость сервисов и подписок выгоднее приобретения того же ПО, особенно в расчете на несколько лет.
 
ЧТО СТОИТ ЗА ОПТИМИЗАЦИЕЙ IT РАСХОДОВ

ОПТИМИЗАЦИЯ не подразумевает собой только вычеркивание пунктов затрат. Для оптимизации нам нужно сменить тип затрат. Другими словами, какие-то затраты станут CAPEX, какие-то OPEX.Не всегда стоимость сервисов и подписок выгоднее приобретения того же ПО, особенно в расчете на несколько лет.


К сожалению, нельзя просто сменить часть ПО, уволить персонал и отдать все на аутсорс, а мощности перебросить в «облако». Издержек не избежать (переобучение персонала, неминуемые ошибки и простои, взаимодействие этого приложения со всеми остальными, недостающий функционал и т.д.) Выходит, то, что изначально предназначалось для изменения чисто финансовых показателей, теперь выходит даже за рамки ИТ характеристик. В конечном итоге успешной может считаться оптимизация, в которой данные характеристики не ухудшились.

· Функциональные возможности IT- инфраструктуры
· Скорость работы информационных систем
· Скорость сервисов и служб на рабочем месте пользователя
· Отказоустойчивость узлов системы

Только при неизменности этих параметров можно говорить, что внедрение или оптимизация удались. С высокой долей вероятности мы получим не то, что хотели. В последнее время для всеобъемлющей оптимизации требуется помощь отдельного специалиста. В наиболее передовых компаниях есть специальная должность- Директор по цифровым технологиям (CDO) Однако большинство организаций прибегают к помощи IT-интеграторов.

ПОЧЕМУ ИНТЕГРАТОР
  
Абсолютно любой CIO не обладает широтой знаний о существующих системах. Немногие CIO знают как правильно внедрить системы «без потерь».19% компаний США имеют позицию CDO.


Источник: https://preview.thenewsmarket.com/Previews/PWC/DocumentAssets/476557.pdf 

Количество новых продуктов растет не менее чем на 10% в год. Более 70% из них- стартапы.
  
У ИТ- директора фактически нет времени и осведомленности о выходящих продуктах, которые могут решить головную боль конкретного сегмента компаний. Этой информацией может обладать только специалист. Подробную информацию вы можете отыскать у нас на сайте.

ТРЕНДЫ РАЗВИТИЯ IT или ОЧЕВИДНЫЕ ПРОБЛЕМЫ

Решений и приложений On Premises становится все меньше. Пионерами серьезного продвижения этой системы были Microsoft с выходом их продукта Office 365. Далее появились Adobe, Cisco и тд. На сегодняшний момент практически все вендоры имеют в своем портфеле решений продукты по подписке.

Конкретно на российском рынке уже более 5 лет бушует тренд импортозамещения, это сокращает объем продуктов и сервисов, т.к. «замещается» далеко не все, что произведено за границей.


В следующей статье вы узнаете о продуктах аналитики деятельности сотрудников и способах увеличения производительности без потери лояльности сотрудников.


А что тут у нас?







Читать подробнее
Гордость и предубеждение системного интегратора

Или длиннопост о жизни в интеграции

Автор статьи - Джавид Юсубов
Ведущий специалист департамента интеграции

Пожалуй, практически каждый системный администратор или ИТ-директор встречались с таким явлением как «системный интегратор». Для кого-то это понятие стало синонимом успешно внедренного проекта, для кого-то – символом дорогого и провального сервиса. Откуда такая коренная разница в восприятии? Давайте разбираться.

Холодные звонки – это надоедливо и не работает

Самый разгар рабочего дня, вы ведете кропотливый поиск причины сбоя в сетевой инфраструктуре и раздается звонок на рабочий телефон. «Добрый день, *username*, наша компания занимается поставками серверного и сетевого оборудования…». Ни тебе представиться, ни спросить, удобно ли говорить. Первое желание – отправить звонящего в далекое пешее путешествие, но природная интеллигентность вынуждает дослушать до конца. Знакомое ощущение? После такого впечатления отношение к холодным звонкам будет, мягко говоря, отрицательное.

А что, если я скажу, что рядовой холодный звонок приведет к обороту в 25 миллионов рублей уже в первый год работы с клиентом? И это не обещание уровня Тони Робинсона, а вполне реальный кейс. Вопрос умения звонящего быть уместным и банально соблюдать этикет. И без доли удачи тоже никуда, конечно.

Холодный звонок – это реальный рабочий инструмент в сфере b2b, практически не имеющий отрицательных сторон для звонящего. Ведь даже если сейчас вам ничего не нужно от системного интегратора, а разговор оставил негативное впечатление, едва ли вы вспомните название этой компании (если вообще услышали его по телефону) при поиске нужного поставщика. И вполне может оказаться, что вы случайно набредете именно на него.


Интегратор должен быть большой. Еще больше!

Бытует мнение, что хорошо и качественно проект может реализовать крупная компания с большим штатом инженеров и филиалами по всей стране. Что имеем по факту? Весь штат распределен по отдельным проектам, а вашим проектом занимается один единственный инженер в паре с менеджером проекта, которых более чем достаточно.

Можно ли получить аналогичный сервис в другой компании? Конечно, ведь проект делают люди, а не компании. А оборудование и ПО может быть одно и то же. Да и накладные расходы у крупной компании выше, а значит и стоимость их услуг. В конечном счете все решает компетентность сотрудников и умение разговаривать на языке бизнеса.

Сделайте красиво. И чтоб без лишних вопросов

Не получится. Работа с интегратором – это совместная работа, требующая временны́х вложений с обеих сторон, как при подготовке проекта, так и при его внедрении. И чем подробнее отвечать на вопросы инженеров интегратора, тем выше вероятность получить необходимый результат. Возможно, задача упростится с появлением устройств для телепатической связи. А пока мы ждем ответы на вопросы.

Я не вижу вашу компанию в списке партнеров производителя. Вы плохой

Допустим. А вы знаете как часто производители обновляют список партнеров на своем сайте? Некоторые настолько часто, что там до сих пор можно увидеть «РиК» и «Компьютерный мир» в списке. А потому лучше спросить о статусе интегратора у представителя производителя или у него самого. Доказательства в виде сертификата всегда найдутся.

Дайте мне инженера, не буду общаться с менеджером

Не стоит сразу начинать общение с инженером. Да простят меня все системные инженеры, которые это читают, но давайте объективно – как часто системный администратор мысленно ругает пользователей на чем свет стоит, потому что они не могут нормально описать требования к задаче или свою проблему? То-то же. Примерно такое может услышать менеджер проекта от инженера, а пропустив через себя, выдать красиво оформленные вопросы конечному клиенту. Нервная это работа, знаете ли, инженерный негатив в радугу трансформировать. Зато клиенту спокойнее.


Очень дорого стоит работа, я сам смогу сделать

Вне всякого сомнения, все что может сделать интегратор, способен сделать администратор компании (должности волшебников в штатное расписание интеграторов пока не ввели). Вопрос времени: сколько нужно времени чтобы разобраться, внедрить и настроить для бесперебойной работы. На одних даташитах проект не реализуешь – зачастую необходим полученный ранее опыт. Вот и получается, что 1000 шт. лицензий на внедрение Microsoft System Center Operations Manager куплены, а внедрить уже третий год некогда, потому что текучка занимает все свободное время. А какая вещь самая дорогая? Которую купил, но не пользуешься.


Я почитал в интернете, эта штука мне подходит, но давайте сравним

По уже приобретенному опыту могу сказать, что если человек потратил время, почитал в интернете и выбрал решение, то он с высокой долей вероятности уже сделал финальный выбор. От интегратора в данном случае требуется предоставить аналоги для сравнения, но желательно, чтобы они только подтверждали ранее сделанный выбор. Можно ли убедить человека выбрать другое решение? Вполне вероятно. Но будьте готовы к тому, что, если ваше предложенное решение хотя бы немного не будет соответствовать ожиданиям, вам достанется.

В магазине дешевле, куплю там

Возможно. Если покупать наушники или телевизор. К тому же, вам часто помогают продавцы в магазинах? На моей памяти помощь заканчивается на уровне размера телевизора и глубины микроволной печи. А что делать, когда необходимо взять на тест и получить отсрочку платежа?

Резюмируя вышесказанное, хочется подчеркнуть – b2b это тоже работа между людьми. И чем теснее контакт, тем больше шансов на успех.

 

Читать подробнее