to je asi jen naše přání. Vidím jak se k bezpečnostním incidentům chovají naše společnosti, místo chycení za hlavu a započatí transformace vnitřní infrastruktury do něčeho spravovatelnějšího jenom nakoupí další blackbox, který slibuje, že vyřeší bezpečnost a k tomu zpřísní pravidla na hesla a sníží jejich platnost.
Takové disaster recovery pro obnovení z nuly je pořád v našich končinách naprosto sci-fi. Sice někteří mají oddělené DR uložiště, dávají to na pásky a procesně se k tomu chovají dobře, ale varianta, kdy budou potřebovat takhle obnovit polovinu infrastruktury není připravena. Ono i obnovení primárních systémů zejména databází je na týdny kvůli omezené přenosové kapacitě aneb s souhrnou rychlostí čtení 280MB/s z pásky toho moc neobnovím.
Kdysi jsme DR z nuly testovali po dvou letech, dnes jsem v posledních letech žádný takový test pro nikoho nepřipravoval, poptávka je prostě na nule, buď si to společnosti umí dělat sami nebo to prostě nedělají.
Nebo veri ze to cloud vyresi za ne. Magicky... bez planu ... na prvni dobrou ... hned.
Od doby co jsem ve firmě už jsou nainstalované 3 bezpečnostní softy na vmkach. Masivně vzrostla IO zátěž a režie na síťovém provozu.
Jednou se zbláznil ten, podruhé onen. Naposledy když lidi začali pracovat z domova rapidně se zmenili vzory chování a zatez. Rázem nastaly blokace, automatické lockupy a přesto ransomware protéká mezi prsty. Dnes už mám hesla o 20ti znacích.
Kvalifikaci lidi nezmiňuji. Místo toho aby mi securitak napsal které šifry jsou bezpečné tak jen mlátí výsledkem audit firem(protože sám tomu nerozumi) kolem sebe.
Je to jako kdyby k policajtům brali každého kdo umi mlátit klackem a rici:" ukaž vobcanku vole!".
Hlavně to chce nejprve oddělit kritickou část sítě/služby od části, na které si stovky běžných zaměstnanců prohlíží emaily s koťátky a porno. Nejčastější způsob infekce je pořád závadný dokument v emailu nebo odkaz na neznámý web (možná tam ještě patří i vzdálená plocha se slabým nebo uniklým uživ. heslem). Zatím jsem si nevšiml, že by někdo prosazoval zmenšování plochy pro útok, spíš naopak - pořád se přidávají do už tak ohromného cíle další krabičky, lidi, software nebo úřady.
Všichni chtějí bohužel nějakou kouzelnou krabičku, ať už SW nebo HW, která nejlépe zadarmo a bez práce vyřeší všechny problémy. O nějakém plánování nechce nikdo nic slyšet, to je moc drahé :-(
A toto tvrzení máte nějak podložené (Nejčastější způsob infekce je pořád ...), nebo si to jen myslíte? Možná to řeknu hloupě, ale za mne je "striktní / fanatické" hlídání bezpečnosti v podstatě zbytečná věc... Změy hesel co pět minut, zakázaní lokální adminové, fatálné omezování/osekávání přístupu na síťová zařízení...
Mám za to, že do sítě se crackeři primárně dostávají dvěma způsoby:
a) 0day chyba
b) Koupený zaměstnanec
Tyto dvě metody projdou všemi opatřeními jako nůž máslem. Viz například nedávná 0day na SMB protokolu. Můžete zaměstnance omezovat jak chcete, vytvářet 100 znaková hesla, vymýšlet jaké chcete blbosti, kdyz máte v sambě díru jako kráva, přes kterou vám projede autobus.
Tzn samozřejmě, všechna bezpečnostní opatření mají svou váhu a ztěžují útok, ale začínám nenávidět agresivní adminy, v jejichž síti si "slušný" člověk ani nevrzne. Je to totiž jako s tím legálním nošením zbraně.
Slušného člověka totálně odzbrojíme a nenecháme mu legálně v kapse ani 4cm ostří, ale zloději si po světě běhají s těžkými kulomety a RPGčky.
K čemu pak takový systém je? Aby buzeroval obyčejné zaměstnance, ale bezpečnosti přispívá minimálně.
Tzn za mne interní opatření dělat jen taková která jsou vyvážená, jdou vstříc pohodlí běžných uživatelů, zajišťují stabilitu služby (aby uživatel neznalostí něco neúmyslně nezmrzačil) a zajišťují právní prostředí ve společnosti (aby si užiatelé neinstalovali kradený soft). A ve finále pak nějaká opatření proti dvěma výše uvedeným hrozbám.
Tzn.
- pravidlené zálohy
- oddělené zálohy (na páskách / na oddělené infrastruktuře / v jíné topologii)
- rychle dostupné zálohy (což je vzhledem k předchozímu dost problém)
- vytvořený pořádný DR, který se taky občas kontroluje
- známé a akceptované max časy obnovení
- známé a akceptované max ztráty dat (když se nepovede obnovit vše)
- v bezpečí kriticá data (což nevím jak zajisit - ale tam jedině má smsysl být maximálně přísný)
však to se pořád v bankách dělá, teda aspoň v těch, s kterými spolupracuji, ale už nepočítá s masivnějším výpadkem, kdy budu potřebovat obnovit desítky nebo stovky serverů či najednou. Není to automatizované, zálohovací infrastruktura nemá dostatečnou kapacitu, chybí kontrola, jak jsou moc jsou zálohy staré k řadě systémům vůbec chybí postup jak je oživit a spousty věcí nastavoval externisté.
Dříve bylo více DC pravidlem, dneska už i řada kritických aplikací běží pouze v jednom ač samotná banka má několik vlastních sálů, aplikace, vývojáři a správci si práci ulehčují a není mechanismus, který by tohle řešil.
Deset let zpatky jsme uz image v bance neresili. Proste se delala replikace krizem mezi storagi a v momente kdybychom prisli o cely barak by se vse odrizlo a preplo jinam.
Resily se i scenare nouzove prepravy pasek do hodiny malym letadlem a jestli to lze jen tak nahazet do knihovny. Az do takovych detailu.
Tam uz se neresila cena temneho vlakna za mestem ale utoky na budovy.
Burzovni systemy jely nektere all in memory a tam nejaka zaloha ukladana nekam nepripadala v uvahu.
24. 5. 2021, 23:47 editováno autorem komentáře
A co ochrana proti zašifrování ransomwarem? Replikace storage funguje jako dobrá multiplikace problému. Jedna z velkých bank pořád dělá odříznutí celého baráku jednou ročně, připravuje se to měsíce, pak se to měsíce vyhodnocuje, ale pokud jim tam vběhne šifrovací SW, dopadnou jak ten ropovod, o tom jsem mluvil.
Také si pamatuji, že jsme dělali podobné scénáře poměrně často, dnes už to ale moc nevídám. Čím dál více služeb je v cloudech a hybridních řešeních, tam obnova má svá specifika a je složitější udělat testovací scénář.
Zadna uzasna ochrana nebyla. Pochybuji ze je tam nejaka dnes vyjma centralizovanych paskovych zaloh a priblblych antiviru je neco vic.
Nejake utoky byly , ale vzdy to odnesla jen pobocka nebo nekolik systemu vyvojaru. Vzdy byl mozny nouzovy provoz pres terminaly a obnova z pasek.
Prekopnute kabely nebo nestandartne se chovajici selhavajici sitovy hw ci lidska chyba napachaly radove vyssi skody.
Mnozstvi oddelenych siti a jen nekteri klienti na windows. Hlavne laptopy. Pobocky maji moznost vyuzit jak lokalni vidle tak bezdiskove terminaly kde podle prepazky na terminal serveru nemusi bezet ani windows nebo hodne oauditovana osekana core verze s jednou appkou.
Pochybuju ze nekdo pro ibm mainframe,aix nebo snad jeste solaris ten ransomware vubec napise.
To je tá "security by obscurity" na ktorú sa občas spoliehajú banky bežiace na proprietárnych technológiách. Tiež som väčšinu kariéry strávil v prostredí kde sa intenzívne využívali mainframe, AS/400 a hlavne AIX.
Portovať ransomware z Linuxu na AIX spočíva častokrát len v rekompilácii. Ak sa použije vhodný kompilátor, tak to využije aj kryptoakceleráciu v POWER procesoroch a bude bežať ešte rýchlejšie.
ano, tak trochu zapomínají, že banka je poměrně velký cíl, na které se vyplatí zacílit, podobné technologie používá celá řada bank na trhu, takže to zase tak extravagantní není.
Běžně věci jako Avast nezachytí AIX ransomware, takže ve statistikách to vypadá jako 0, kolikrát tyhle zákeřné programy mohou být měsíce, roky schované a zaútočit kdykoliv.
V rámci návrhu zabezpečení infrastruktury musím vždy zohlednit situaci, kdy veškeré jiné metody nezabraly a došlo k tomu nejhoršímu - kompletní vypnutí ropovodu. Spoléhat na to, že mám věci na Solarisu a ten je schovaný ve vlaně je strašně krátkozraké.
Ten punc nedotkutelnosti, protože věřím, že se mi to nestane, protože se mi to ještě nikdy nestalo je absurdní. Za posledních 10 let nevidím velký pokrok v zabezpečení českého bankovnictví. Tím nechci říct, že je na nízké úrovni, ale že pořád vidím vektory útoku, které mohou být úspěšné.
Tak som vyskúšal demo od FingerprintJS, a dostal som 24/24 False Positive presne ako popisujú v issue na Githubu: https://github.com/fingerprintjs/external-protocol-flooding/issues/5
Po několikanásobném použití ransomware v okolí zatím opravdu nevidím žádný náznak zvýšené aktivity, týkající se zlepšení opatření předpisů v okolních firmách. "Chytré bedýnky" opravdu nic nevyřeší.
Když k tomu připočtu chronickou poddimenzovanost bezpečnostního personálu, malou snahu managementu okolních podniků pochopit možné dopady napadení a všeobecně malé množství odborníků na bezpečnost v ČR, nevidím nijak slavně možnost, že hacky budou zastaveny.
Takže, máme se na co těšit.
FingerprintSJ / schemeflood.com nedava moc presvedcive vysledky. FF Android je nepodporovany, FF linux aj FF Win dava rozne vysledky pri kazdom spusteni testu. Skusal som asi 10 × na kazdom a vzdy zle.
Jedine co ma prekvapilo je ze FF nezablokoval PopUp okno automaticky.
Ubuntu web browser hlasi: "FVVVV0 This is your identifier. It was seen 3332 times among 52499 tests so far. That means it is 93.65% unique."
Pri dalsom opakovani test spadne.