Krüptoviirus on uudispealkirjadest kadunud, kuid rünnakud jätkuvad. Millised on põhilised sammud, mida peaks järgima iga ettevõte? Tõnis Tikerpäe andis kiire ülevaate peamistest ettevõtte kaitsmise võimalustest. Tehnilise poole võtmesõnadeks on Windows Policy, Backup, ATP, ATA, Alerts

1. Viis sammu krüptoviirusega võitlemiseks
Tõnis Tikerpäe
Primend
Teenuste juht

2. Lunavara ajalugu
• 1989 AIDS
• 1996 Young and Yung – PKI
• 2006 Gpcode
• 2011 Windows Product Activation
• 2013 CryptoLocker
• 2014 CryptoWall
• CryptoWall on teeninud $18 mln (ArsTechnica 25.juuni 2015)

3. Suurimad andmelekked
• Dropbox
• 68,7 miljoni kasutaja andmed
• Linkedin
• 2012 aasta kokku 117 miljoni kasutaja andmete lekkimine
• Sony PSN
• 77 miljoni kasutaja andmed lekkisid, mitme nädalane teenuse katkestus
• Mossack Fonseca
• 2,6 TB andmelekke
• Myspace
• 427 miljoni kasutaja andmed
• Teamviewer
• Arvutitest piltide ülevõtmine
Info pärineb http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

5. Hetkel populaarsed nimed
https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

6. Mida teeb lunavara andmetega
• Krüpteerib tugeva võtmega kõiki faile
• Muudab failinimed ja laiendid
• Kuvab teate krüpteerimise kohta
• Nõuab tasu määratud aja jooksul Bitcoinides
• Krüpteerib kõik failid, mis on kasutajatele ligipääsetavaks tehtud
• Kogub arvutist info kasutaja, e-mailide ja salasõnade kohta

7. Kuidas nakatumist ennetada?
• Probleemid
• Kurjategijatel on aega piisavalt
• Kaitstakse ainult perimeetrit
• Puudub ülevaade süsteemis toimuvast
• Nõrgad paroolipoliitikad
• Vähene kasutajate juhendamine
• Nõrk turvalisus nutiseadmetes

8. Kuidas nakatumist ennetada - 1
• Kasutaja õiguste jagamine
• Teenuskontode korrektne seadistamine
• Managed Service Accounts konteiner
• Luba sisse logimine kindlates serverites
• Eemalda tavakasutajalt administraator õigused
• Delegeeri administraator kontodele õigused
• Least privilege põhimõtted
• Dokumenteeri, k.a muudatused

9. Kuidas nakatumist ennetada - 2
• Viirusetõrje ja tark tulemüür
• Tulemüüris (riistvaralises ja/või tarkvaralises) lunavaraga seotud
veebisaitide ja IP aadressite keelamine. Kui pahavara ei saa nendega
ühendust, siis ei hakka tööle failidee krüpteerimise protsess. Võib ka
mõelda OpenDNS’i kasutusele võtmist.
• Keela veebilehitsejas popupid ja reklaamid
• Office365 ATP

10. Kuidas nakatumist ennetada - 3
• Grupipoliitika sätted
• Local Administrator Password Solution (LAPS)
• User Account Control (UAC)
• Bitlocker
• UEFI Boot
• Secure Boot
• Uued arvutid ja serverid on TPM 2.0
• BIOSis koht kuhu salvestatakse sinu Bitlockeri võtmed
• Software Restriction Policies
• Keela suvalistest kohtadest tarkvara käivitamine
• Nimekiri lubatud tarkvarast
• Applocker
• Windows 10 Enterprise
• File Server Resource Manager
• Tee file screen filter

11. Kuidas nakatumist ennetada - 4
• Installeeri kõik uuendused
• Operatsioonisüsteemi uuendused
• Tarkvara uuendused

12. Kuidas nakatumist ennetada - 5
• Koolita kasutajaid
• Mitte kasutama tundmatuid programme
• Ära paigalda tundmatuid äppe
• Kahtlase emaili puhul tuleb teavitada

13. Kuidas käituda kui nakatumine on toimunud?
• Eemalda nakatanud arvuti võrgust
• Tee diagnostika
• Tööjaamas eemalda kõvaketas (kloonimiseks, arhiivi otstarbel)
• Tuvasta ründe ulatus
• Serveris Fail Server Resource Manager
• Tee File Screen filter

14. Kuidas ja kuhu varundada andmeid?
• Pilv
• Microsoft Azure Backup – serverid ja tööjaamad
• Microsoft OneDrive – Tööjaamad ja nutiseadmed
• Lokaalsed lahendused
• NAS seade
• Välised kõvakettad
• Kaitse varukoopiat
• Seadista varukoopiate tegemiseks teenuskonto
• Eemalda päritavad õigused sihtkaustalt – lisa teenuskonto ja SYSTEM
• Kasuta peidetud jagatud kaustu (share$)

15. Kuidas taastada andmed
• Taastamine eelmiste versioonide järgi (Volume Shadow Copy Service,Previous Versions)
• Terviklik varukoopiast taastamine
• Terve dokumendikataloog
• Terve virtuaalmasin
• Microsoft Support või Poiwershell script
• Sharepoint Online
• Exchange Online
• OneDrive for Business
• Tööjaamas taastamine puhtale kõvakettale
• Maksa ära! Hävita pärast krediitkaart!
• Kas ja kuidas teavitada CERT Eestit?
• Kas ja kuidas teavitada kliente?

16. Kolm erinevat stsenaariumit reaalsetest
juhtumitest
• Arvutis on dokumendid krüptitud
• Failid peavad oleme sünkroniseeritud. Taastamine on uue süngi
seadistamine
• Serveris asuvad failid on krüpteeritud.
• Backup tarkvaraga VMi taastamine
• SharePoint Online on krüpteeritud (süngitud failid)
• Ükshaaval taastamine (versioonihaldus),
• Microsofti support (Enterprise, CSP)
• Powershell script

17. Tänan!
Tonis.tikerpae@Primend.com

18. Software Restriction Policies
• GPO tegemiseks
• Computer ConfigurationPoliciesWindows SettingsSecurity
SettingsSoftware Restrictions PoliciesAdditional Rules
• %AppData%*.exe Disallowed
• %AppData%**.exe Disallowed
• %AppData%Temp**.exe Disallowed
• %TEMP%*.exe Disallowed
• %TEMP%*.*.exe Disallowed
• %TMP%*.exe Disallowed
• %TMP%*.*.exe Disallowed

19. File Server Resource Manager
• Windows Serveri roll
• Filescreen list - http://pastebin.com/BQV7yr8V
• Powershell käsk – vaata slaidi märkmeid
• Create a File Screen Template https://technet.microsoft.com/en-
us/library/cc731318(v=ws.11).aspx
• Create a File Screen https://technet.microsoft.com/en-
us/library/cc754163(v=ws.11).aspx

20. Local Administrator Password Solution
(LAPS)
• Techneti blogi
https://blogs.technet.microsoft.com/askpfeplat/2015/12/28/local-
administrator-password-solution-laps-implementation-hints-and-
security-nerd-commentary-including-mini-threat-model/
• Technet https://technet.microsoft.com/en-
us/mt227395.aspx?f=255&MSPPError=-2147217396