Новый вымогатель Bad Rabbit в фокусе Tufin. Минимизация угрозы.

04 декабрь 2017

 

 Компании, использующие Tufin в своей сетевой инфраструктуре, смогли вовремя прекратить распространение вируса WannaCry благодаря аналитике, которая сразу показала, что атака осуществляется через сетевые устройства на 445 порт.

 Пользователи Tufin немедленно обнаружили в своих сетях политики доступа, уязвимые к атаке к WannaCry, провели глубокий анализ возможного влияния на сетевую инфраструктуру при изменении правил, и, выбрав оптимальный сценарий, безболезненно на него перешли. Ключевым фактором такой незамедлительной реакции стала наблюдаемость сетевых процессов всей инфраструктуры компаний, как локальной, так и облачной, благодаря анализатору политик и автоматизации в управлении политиками сетевой безопасности Tufin.

Еще один знакомый кролик

 По механизму заражения Bad Rabbit похож на предыдущий зловред. Первоначальное проникновение в инфраструктуру осуществляется при помощи фейковых обновлений Adobe Flashplayer с подставных или зараженных веб-сайтов. Bad Rabbit шифрует жесткий диск конечного пользователя, требуя оплату в биткойнах через Tor. Кроме того, используя открытый исходный код утилиты Mimikatz, зловред получает из памяти список всех логинов и паролей, которые ранее вводились для доступа на удаленные машины, и через открытые порты 137, 139, 445 осуществляет Brute force атаку на все машины сети для их захвата.

Как бороться с кроличьими норами

 Bad Rabbit может пробраться в сеть через любого конечного пользователя, который по неосторожности или невнимательности взаимодействовал с зараженным сайтом, потому стоит обратить внимание на защиту конечных точек – пользовательских машин. Это первая линия, которая может предотвратить заражение и дальнейшее распространение в сети. В том случае, если защита конечных точек не справляется, становится критически важным наличие второго уровня защиты на уровне сети компании.

 Чтоб предотвратить перемещение кролика между сетевыми зонами, необходимо для начала определить политики доступа, которые позволяют ему использовать 137,139,445 порты и принять меры для их изменения или блокировки. При этом необходимо учитывать возможные последствия таких действий, чтоб избежать нарушения связи между сетевыми зонами и критическими бизнес-приложениями, особенно в сложных сетевых архитектурах. Такая задача требует детального изучения трафика сетевых экранов и наблюдаемости сетевых процессов. Благодаря анализатору политик и автоматизации в управлении политиками сетевой безопасности, пользователи Tufin решают эту задачу в режиме реального времени, без потери доступа к бизнес-приложениям или объектам сетевой инфраструктуры, что гарантирует непрерывность и стабильность в работе компании, не смотря на изменения конфигурации сети.

Проверенные рекомендации по борьбе с вредителями

 «Атаки программ вымогателей и другого вредоносного кода это постоянная угроза для работы сетей компаний, потому критически важно применять сегментацию сети на основе лучших практик и рекомендаций, чтоб создать уверенную преграду угрозам, которые эксплуатируют еще неизвестные или не выявленные уязвимости в настройках сети. Обеспечение наблюдаемости сетевых процессов является частью эффективной стратегии сегментации сети, которая исключает риск распространения вредоносных программ в сетевой инфраструктуре компании.» – Реувен Харрисон, технический директор Tufin.

Bad Rabbit – это яркий свежий пример атаки зловредной программы, которая широко проникла в корпоративные сети, нанесла серьезный ущерб и привела к сбоям в работе компаний. И, разумеется, эта атака не станет последней.

Чтоб лучше подготовиться к отражению будущих атак, следуйте рекомендациям от Tufin:

  • Необходимо выявить и устранить небезопасные или неиспользуемые правила доступа
  • Разделите свою сеть и разработайте взвешенный подход к сегментации, который уравновесит безопасность с управляемостью
  • Определите сегменты сети, которые содержат конфиденциальные данные или имеют высокую степень уязвимости, и учитывайте их для определения приоритетности в плане снижения рисков
  • Когда расследование определит пути проникновения инфекции, разработайте процедуру обнаружения правил доступа, которые способствуют ее распространению по сегментам сети, и следуйте приоритетам согласно своему плану снижения рисков

 Возможность понимания влияния политик сетевого доступа, а также последствий их изменений вместе с автоматизацией этих задач, предотвращает нарушения в работе сети во время отражения кибератак. Пользователи Tufin Orchestration Suite™ имеют возможность отслеживать все политики доступа на любом порту в режиме реального времени, что в свою очередь позволяет обнаруживать уязвимые правила, которые может использовать вредоносная программа.

 С Tufin у вас будет наблюдаемость сетевых процессов наряду с автоматизацией в управлении политиками сетевой безопасности, что позволит оперативно реагировать в случае атаки, безошибочно внося изменения в сетевые политики.

https://www.tufin.com/

Мероприятия