Általában szeretek bombasztikusnak hangzó címekkel előrukkolni, most mégsem teszem, inkább csak egy rövidke kis esetleírást közlök. A téma valószínűleg unalomig ismert, de úgy látom, még mindig érdemes beszélni róla.

Backup

Magyar nevén biztonsági mentés. Gyakorlatilag minden üzleti tevékenység alapja, ahol számítógépeket használnak. A DR és BCP stratégiáknak is az alapját adja, az üzleti adatok mentése nélkül ilyen - működő - stratégiákat kidolgozni lehetetlen. Fontos a megfelelő backup stratégia kidolgozása is, de annak egyensúlyban kell lennie az üzleti célokkal. Mindazonáltal a minimálisan ajánlott konfiguráció a három különböző mentés, földrajzilag is elkülönített helyeken, ezekből legalább egy legyen "kézközelben" a minél gyorsabb visszaállítás érdekében, de offline állapotban.

Ha mindez megvan, akkor a biztonsági mentések kezelésének elsajátítása is kulcsfontosságú, amint a következő esetleírásból látszani fog.

Az eset

A redditen találtam egy bejegyzést, ahol egy kis cég alkalmazottja kért segítséget. A bejegyzés szerint a szerverükre betörtek, az adataikat eltitkosították és a támadó 10.000 USD váltságdíjat kér a titkosítás feloldásáért cserébe. Az alkalmazott szerint a cégüknek közel sincs ennyi pénze és az üzletmenetük megbénult, mert nem képesek hozzáférni a számlázási információkhoz. A cég technikai embere ugyan megpróbálta visszaállítani az adatokat, de azok is titkosításra kerültek. A segítséget kérő alkalmazott szerint a merevlemezeket rotálnia kellett volna a technikai embernek, aki ezt nem tette meg.

Konklúzió

Nagy valószínűséggel a technikai ember a fertőzött rendszerhez csatlakoztatta a lokális mentést tartalmazó merevlemezt. Nincs információ arról, hogyan nézett ki a cég infrastruktúrája, de a helyzetre lett volna kevésbé kockázatos megoldás. Azt sem tudni, mennyire volt nyomás alatt a technikai ember, de az bizton állítható, hogy nem a közel ideális megoldást választotta. Ezenkívül a fertőzésért valószínűleg a CEO okolható - aki tulajdonos is -, mert a többszöri figyelmeztetések ellenére rákattintgatott mindenre, amit emailben kapott.

Tulajdonképpen mindez megelőzhető lett volna egy kis befektetéssel a tréningek terén: a technikai embert elküldeni valamilyen rendszeradminisztrációs tanfolyamra és a cég minden alkalmazottjának szüksége lenne biztonságtudatossági tanfolyamra - beleértve a CEO-t is.

Lehetséges megoldás

Ha a technikus tudja, mit csinál, a megoldás kézenfekvő: egy teljesen külön gépre felhúzza az operációs rendszert, telepíti a frissítéseket, majd jöhet a többi - alkalmazások, adatok. Ezt a lehető legjobb megoldás szerint egy szeparált alhálózatban teszi, ahová nincs átjárás a fertőzött alhálózatból. Ha erre nincs lehetőség, akkor egy másik internetkapcsolattal meg lehet oldani.

Az eredeti írás 2019. augusztus 9-én jelent meg.

CoreSec