Od wczoraj pojawia się coraz więcej informacji o firmach, które padły ofiarą złośliwego oprogramowania Petya. Z konsekwencjami cyberataku zmagają się obecnie instytucje państwowe, wielkie firmy logistyczne, dostawcy energii, banki czy nawet agencje reklamowe. Ale złośliwe oprogramowanie trafiło również do wielu mniejszych firm i prywatnych komputerów.

Przedstawiamy poniżej komentarz eksperta firmy Balabit, wiodącego dostawcy rozwiązań do zarządzania uprzywilejowanym dostępem (Privileged Access Management – PAM) oraz wskazówki, jak postępować w przypadku ataku złośliwego oprogramowania.

Komentarz Csaby Krasznay, Security Evangelist w firmie Balabit

W oparciu o wnioski wyciągnięte z ataków ransomware WannaCry, najważniejszy jest przepływ informacji i skutecznie zarządzanie zdarzeniami w czasie rzeczywistym. Organizacje muszą upewnić się, że ich działania w pierwszych krytycznych godzinach cyberataku, nie wywołają jeszcze większych szkód. Specjaliści ds. bezpieczeństwa powinni zbierać i przechowywać wszystkie informacje, w celu przeprowadzenia późniejszych analiz, na przykład gromadzić i przechowywać wszystkie dane z logów i rejestrować swoje działania za pomocą rozwiązań do zarządzania sesjami – na wypadek, gdyby z powodu błędu ludzkiego konieczne było przywrócenie całego systemu.

Csaba_Krasznay.jpg

5 podstawowych kroków, jak postępować, w przypadku rozprzestrzeniającego się wirusa:

1. Izolacja

Zainfekowane punkty końcowe powinny być odizolowane tak szybko, jak to możliwe. Dlatego odłącz kabel zasilania, gdy tylko złośliwe oprogramowanie zostanie wykryte.

2. Zebranie informacji

Co zaatakowało system, jak działa i jak sobie z tym poradzić? Sprawdź, czy instytucje rządowe (CERT) wydały komunikaty ostrzegające przed ransomware. Czy na platformach społecznościowych takich jak Twitter, na blogach dotyczących bezpieczeństwa, znajdują się informacje ostrzegające przed atakiem?

3. Segmentacja sieci

Należy wyeliminować zainfekowane protokoły z ruchu sieciowego i podjąć decyzję, która może nieść ze sobą poważne konsekwencje: czy zapobiegać rozprzestrzenianiu się złośliwego oprogramowania i wstrzymać część lub całość procesów biznesowych, czy raczej je kontynuować?

4. Wdrażanie środków zapobiegawczych

Zastosuj IOC, zaktualizuj IDS i firewalle, systemy AV i serwery jak największej liczby klientów, zanim dostawca oprogramowania antywirusowego zapewni odpowiednie aktualizacje.

5. Na sam koniec trzymaj kciuki za pozytywny finał. Obserwuj, co będzie się działo dalej. Może pojawi się kolejny wariant? Sprawdź, czy wszystkie systemy zostały zapatchowane? Czy firma powinna obawiać się, ze trafi na pierwsze strony gazet? Czy w pośpiechu coś nie zostało źle skonfigurowane?

Zachęcamy również do lektury bloga firmy Balabit, gdzie eksperci firmy publikują swoje analizy sytuacji, m.in. po ataku ransomeware WannaCry