Рекомендации по защите от вируса Wanna Cry

Глобальная хакерская атака в настоящее время затронула множество компьютеров в России и за рубежом, включая сети крупных телекоммуникационных компаний, силовых ведомств и медицинских учреждений.

Наши технологические партнеры из Лаборатории Касперского на вчерашний день зафиксировали 45 тыс. попыток взлома в 74 странах.

О вирусе

Программа-шифровальщик, распространяющаяся в сети получила название WannaCry. В отличии от других программ подобного типа, данный шифровальщик сочетает в себе функции вирусного, троянского ПО и сетевых червей. Используя в качестве механизмов проникновения как электронную почту (этот механизм позволяет ему преодолевать защитные межсетевые экраны), так и опубликованную 14 марта этого года сетевую уязвимость протокола SMB: Microsoft Security Bulletin MS17-010. Данная уявимость позволяет вирусу распространяться внутри зараженной сети и поражать максимальное число уязвимых устройств.

Microsoft не выпустила обновления безопасности для ОС Windows XP и Windows 2003, поэтому пользователи, использующие устаревшее ПО наиболее уязвимы.

Заражая устройство, вирус зашифровывает все пользовательские данные на жестком диске и требует выкуп за их расшифровку.

Рекомендации по защите сети

Сам сервер Ideco ICS основан на ядре Linux, все порты на внешних интерфейсах всегда закрыты, поэтому он неуязвим к атакам, использующих сетевые уязвимости, подобные используемым данным вирусом. Технология NAT также надежно защищает все сетевые устройства от подключений из вне. Однако вирус использует различные варианты распространения (электронная почта, возможно также он распространяется через вирусные сайты, флеш-диски, а также может быть принесен сотрудниками вместе с используемыми в других сетях ноутбуками Подробнее механизмы распространения вируса пока не изучены).

Настройка Ideco ICS

• Защита периметра сети в период эпидемии должна быть максимально эффективной:
  Обновите шлюз безопасности Ideco ICS до актуальной версии 7.0.1, так вы получите максимальный эффект от описанных ниже действий по настройке системы безопасности.
• Включите на Ideco ICS систему предотвращения вторжений.
  Как минимум активируйте следующие группы правил системы: "Запросы на скомпрометированные ресурсы", "Чёрный список IP-адресов". Блокировка ресурсов из этих категорий поможет заблокировать командные центры вируса, и зараженные системы не смогут получать команды на срабатывание, обмениваться ключами для зашифровки файлов, передавать информацию с зараженных компьютеров злоумышленникам. Уже установлено, что общение с командными центрами вирусов происходит через сеть TOR, которая будет заблокирована системой предотвращения вторжений.
  Рекомендуется активировать все группы правил системы предотвращения вторжений, в случае ложных срабатываний правила можно добавить в исключения системы.
• На Ideco ICS включите антивирусы веб-трафика. Рекомендуется использовать антивирус Касперского, но если ваша лицензия это не позволяет, включите антивирус ClamAV.
  Потоковая проверка веб-трафика на вирусы позволяет заблокировать угрозы еще до их проникновения на рабочие компьютеры.
• С помощью расширенного контент-фильтра заблокируйте для всех пользователей следующие категории сайтов:
  ботнеты, центры распространения вредоносного ПО, фишинг/мошенничество.
  Либо аналогичные категории стандартного контент-фильтра, но он менее эффективен для защиты для новых угроз.
• Если ваша сеть сегментирована на несколько локальных сегментов, связанных через Ideco ICS, вы можете заблокировать 445 TCP и UDP порты системным межсетевым экраном.
это предотвратит возможное распространение вируса между локальными подсетями:

Защита конечных устройств

• Установите патч для закрытия эксплуатируемой вирусом уязвимости: MS17-010
• Убедитесь, что антивирусное ПО на всех компьютерах установлено, работает и использует актуальные базы сигнатур
• Отключите от сети компьютеры с устаревшими ОС, для которых не выпущен патч уязвимости: Windows XP и Windows 2003

Если вы используете Windows в качестве интернет-шлюза

Мы не рекомендуем использовать любые версии Windows на серверах, подключенных непосредственно к Интернету. За последнее время была опубликована информация о большом количестве уязвимостей данных ОС, не все из которых закрыты существующими обновлениями систем безопасности. Заражение подобным WannaCry вирусом непосредственно интернет-шлюза может привести к заражению всех хостов сети, потерям коммерческой информации, а также участию сети, как части ботнета в атаках на другие, в том числе правительственные ресурсы.

Не может обеспечить требуемый в настоящих условиях уровень безопасности и ПО, использующее Windows, как платформу, т.к. ядро системы все равно будет уязвимым. Если вы используете такое ПО, как Microsoft TMG, Kerio Winroute, Traffic Inspector, UserGate Proxy & Firewall, мы рекомендуем как можно скорее мигрировать на более безопасные и современные решения.

Шлюз безопасности Ideco ICS удобен тем, что может быть использован не только в качестве программно-аппаратного комплекса, но и устанавливаться непосредственно на имеющийся сервер, как программного обеспечение (не требуя другого установленного ПО), или быть развернут в качестве виртуальной машины на гипервизоре.

30-ти дневная полнофункциональная версия Ideco ICS позволяет начать использование шлюза безопасности немедленно, после установки. Установка Ideco ICS занимает около 15 минут. Непосредственная настройка (в случае использования авторизации пользователей по IP или настройки интеграции с Active Directory) - не более получаса.

Для организаций, использующих 40 и менее компьютеров, мы предлагаем бесплатную редакцию Ideco ICS, которая позволяет обеспечить высокий базовый уровень защиты вашей сети, а также может быть дополнена покупкой всех необходимых для безопасности модулей: системы предотвращения вторжений, антивируса Касперского, контент-фильтра.