Kuusi halpaa keinoja suojata organisaatiosi WannaCry:lta ja muilta ransomwareilta

Jälleen uuden ransomwareaallon jälkeen on hyvä virittää omat järjestelmät hieman tiiviimmiksi seuraavaa aaltoa odotellessa. Alla kuusi halpaa tapaa, joilla ehkäistä ransomwaren tartunta ja rajata sen leviämistä omassa verkossa.

Vain listattujen ohjelmien salliminen

Uusia haittaohjelmia syntyy lähteestä riippuen noin 390 000 päivittäin. Musta lista (eng. blacklist) ei pysy millään ajantasalla uusien haittaohjelmien kanssa. Tehokas keino paitsi ohjelmien myös haitallisten scriptien estämiseen on sallia vain erikseen listattu ohjelmakoodi. Jos pelkää henkilöstön tyytyväisyyden kannalta voidaan sallittujen listalle lisätä myös muita kuin suoraan töihin liittyviä luotettavia palveluita, esim. Spotify, tai ohjeistaa käyttäjät kuuntelemaan musiikkilistojaan kännykällään. Ohjelmistokehittäjille ja muille koneen admin-tunnuksia tarvitsevalla valkoinen lista on toki usein käytännössä mahdoton toteuttaa. Valkoisesta listasta kirjoitimme jo aiemmin.

Tietoturvapäivitykset

Microsoft julkaisi WannaCry:n hyödyntämään tietoturva-aukkoon päivityksen jo useampi kuukausi sitten. Usein organisaatioiden pelkona on, että päivitykset rikkovat järjestelmät, mutta tietoturvapäivitykset harvemmin rikkovat, sillä ne eivät muuta tuotteen ominaisuuksia. Kaikkia päivityksiä ei siis tarvitse asentaa, mutta tietoturvapäivitykset tulisi asentaa mielellään samana päivänä.

Verkkolevyn kirjoitusoikeuden rajaaminen

WannaCry:n ja moni muiden ransomwarejen kannalta verkkolevyt ovat sekä erittäin hyvä maali että leviämiskanava. Verkkolevyjen kirjoitusoikeuksia rajaamalla saadaan pienennettyä todennäköisyyttä, että yhden päätelaitteen saastuessa saastuu myös verkkolevy. Kun kirjoitusoikeuksia on rajattu saastuu ainoastaan ne tiedostot, joihin saastuneen koneen käyttäjällä on ollut kirjoitusoikeus ja näihin kansioihin liitetyt päätelaitteet.

Varmuuskopiointi

Ransonware on käytännössä levyrikkosimulaatio: tietokoneen kiintolevy menee varoittamatta käyttökelvottomaksi. Tilanne ei juuri eroa esimerkiksi tulipalosta tai juoman kaatumisesti suoraan kiintolevyn päälle. Tosin pelkästään rahassa mitattuna lunnaiden maksaminen on usein halvempaa kuin palaneen tai kosteusvairioituneen kiintolevyn korjaaminen.

Admin-tunnushygienia

Kriittistä verkkoinfraa ei tule konfiguroida samalla admin-tunnuksella kuin työasemia. Admin-tunnusten pääsyaluetta rajaamalla saadaan hyökkäystä rajattua tai ainakin hidastettua. Lisäksi admin-tunnuksia tulisi käyttää vain admin-tehtäviin vältellen nettisurffailua tai muuta toimintaa, jossa voi päätyä drive-by -hyökkäyksen kohteeksi.

Palvelimien koventaminen

Jokainen palvelu lisää hyökkäyspinta-alaa, erityisesti jokainen internetin suuntaan avattu palvelu. Turhat palvelut kannattaa poistaa käytöstä ja vähän käytettyjen palveluiden tarvetta miettiä uudestaan tai sallia käyttö esimerkiksi vain sisäverkosta tai VPN:n kautta.

Palvelimen avoimet portit voi selvittää esim. nmap-työkalulla ja tämän jälkeen edistyneemmillä työkaluilla voi hakea palvelukohtaisia haavoittuvuuksia. Hyökkääjät skannaavat verkossa olevia palveluja jatkuvasti, joten välillä kannattaa itsekin kokeilla kuinka reikäinen palvelin on.


Jos näiden toimenpiteiden jälkeen tietoturva edelleen mietityttää, voidaan haittaohjelmien estämisen lisäksi parantaa valvontaa, jolloin saataisiin verkkoon ja päätelaitteisiin myös näkyvyyttä.

Jos tarvitset lisää apua varautumisessa tai oikeiden suojautumisen ratkaisujen löytämisessä, ota yhteyttä meihin.

www.combitech.fi