Tavaline tööpäev võib muutuda õudusunenäoks, kui inimene kaotab valvsuse ja avab kahtlase e-kirjaga kaasas oleva manuse. Primendi hommikukohvil vaatasime üle järgmised teemad: kuidas nakatumist ennetada ja mida peab tegema, et nakatumisest ei tuleneks kahju või see oleks minimaalne; kuidas ja kuhu varundada andmed, et need oleksid peale nakatumist kättesaadavad ja kasutatavad; kuidas käituda kui nakatumine on toimunud ning kuidas taastada andmed. Esinejad: Toomas Mõttus (Primend) ja Andres Nurk (Primend)

2. there is no limit!
IT -> Info Teenused

3. Infotehnoloogia on üha vähem
tehnoloogia ja üha rohkem teenused
• Pilveteenused
kasvavad u 20% aastas
• Primendi käive
2016H1 975 781 €
• Teenuste osakaal
käibest on 57.66 %
€413,134
€281,522
€281,125
€0
€200,000
€400,000
€600,000
€800,000
€1,000,000
€1,200,000
2014H1 2014H2 2015H1 2015H2 2016H2
Seadmed ja tarkvara
Edasimüüdud teenused
Oma teenused

4. IT valdkonna väljakutsed
Teenused, teenused ja … teenused

5. Väljakutse: seadmete ja teenuste paljusus
Infotehnoloogiat ei kasutata enam läbi seadmete,
vaid läbi teenuste. Töövoos kasutatakse hetkel
kõige mugavamat seadet
sõltuvalt tegevusest või
asukohast.
PILVETEENUSED

6. Primendi tugi pilveteenustele
• help@primend.com
• ZenDesk
• Nagios, OCS
• Soovitusindeks
• Yammer
• Skype for Business
Teenus on kiire siis, kui inimene tunneb, et
teenus on kiire.
Teenus töötab siis, kui inimene saab seda
kasutada

7. IONO
Ennustatav
müügitulemus
Tark mees taskus
Õige
tootmisvõimsus
Digitaalne
turundus
Iseteenindus
Ennustatav
müügitulemus
IONO analüüsib
ja seob andmed

8. Päevakava
• Mis asi on lunavara, kuidas kahju hinnata?
• Kuidas nakatumist ennetada?
• Kuidas ja kuhu andmeid varundada?
• Kuidas käituda nakatumise korral?
• Kuidas taastada tööjaamu?
• Kogemus – taastamise tegevuskava
• Nakatunud arvuti käsitlemine
• Taastamine andmekeskuses
• Taastamine SharePoint Online pilveteenuses

9. Suurimad andmelekked
• Dropbox
• 68,7 miljoni kasutaja andmed
• Linkedin
• 2012 aasta kokku 117 miljoni kasutaja andmete lekkimine
• Sony PSN
• 77 miljoni kasutaja andmed lekkisid, mitme nädalane teenuse katkestus
• Mossack Fonseca
• 2,6 TB andmelekke
• Myspace
• 427 miljoni kasutaja andmed
• Teamviewer
• Arvutitest piltide ülevõtmine
Info pärineb http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

10. Lunavara ajalugu
• CryptoLocker, Locky, CryptoWall
• Winlocker, Satana, Petya
• CryptoWall on teeninud $18 mln (ArsTechnica 25.juuni 2015)
• 1989 AIDS
• 1996 Young and Yung – PKI
• 2006 Gpcode
• 2011 Windows Product Activation
• 2013 CryptoLocker
• 2014 CryptoWall

11. Hetkel populaarsed nimed

12. Mida teeb lunavara andmetega
• Krüpteerib tugeva võtmega kõiki faile
• Muudab failinimed ja laiendid
• Kuvab teate krüpteerimise kohta
• Nõuab tasu määratud aja jooksul Bitcoinides
• Krüpteerib kõik failid, mis on kasutajatele ligipääsetavaks tehtud
• Kogub arvutist info kasutaja, e-mailide ja salasõnade kohta

13. Valmistumise meetodid
• Viirusetõrje ja tark tulemüür
• Poliitikad
• Varundamine
• Keela veebilehitsejas popupid ja reklaamid
• Ole ettevaatlik (töötajate juhendamine)
• Lülita võrgust välja
• Kas ja kuidas teavitada politseid
• Kuidas hankida BitCoine?

14. Lunavara intsidendi mõju hindamine
Kui palju on ettevõttes töötajaid 100 100 100 töötajat
Mitut töötajat lunavara intsident mõjutas 2 10 100 töötajat
Lunavara ründest taastamise aeg 2 5 7 päeva
Mõju ettevõttele 2,00% 10,00% 100,00%
Tegelik taastamise aeg koos kaasnevate kuludega 4 10 14
Ettevõte käive 5 000 000 € 5 000 000 € 5 000 000 €
Ettevõtte kasum 100 000 € 100 000 € 100 000 €
Mõju ettevõtte majandustulemustele -1 095,89 € -13 698,63 € -191 780,82 €
Kasum / kahjum pärast rünnet 98 904,11 € 86 301,37 € -91 780,82 €
72% ei saa oma dokumentidele ligi 2 päeva
32% ei saa dokumentidele ligi 5 ja enam päeva

15. Kuidas nakatumist ennetada?
• Probleemid
• Kurjategijatel on aega piisavalt
• Kaitstakse ainult perimeetrit
• Puudub ülevaade süsteemis toimuvast
• Nõrgad paroolipoliitikad
• Vähene kasutajate juhendamine
• Nõrk turvalisus nutiseadmetes

16. Kuidas nakatumist ennetada?
• Kasutaja õiguste jagamine
• Teenuskontode korrektne seadistamine
• Managed Service Accounts konteiner
• Luba sisse logimine kindlates serverites
• Eemalda tavakasutajalt administraator õigused
• Delegeeri administraator kontodele õigused
• Least privilege põhimõtted
• Dokumenteeri, k.a muudatused

17. Kuidas nakatumist ennetada?
• Grupipoliitika sätted
• Local Administrator Password Solution (LAPS)
• User Account Control (UAC)
• Bitlocker
• UEFI Boot
• Secure Boot
• Software Restriction Policies
• Keela suvalistest kohtadest tarkvara käivitamine
• Nimekiri lubatud tarkvarast
• Applocker
• Windows 10 Enterprise
• File Server Resource Manager
• Tee file screen filter

18. Kuidas nakatumist ennetada?
• Installeeri kõik uuendused
• Operatsioonisüsteemi uuendused
• Tarkvara uuendused
• Koolita kasutajaid
• Mitte kasutama tundmatuid programme
• Ära paigalda tundmatuid äppe
• Kahtlase emaili puhul tuleb teavitada

19. Office 365 Security & Compliance
• Alerts
• Permissions
• Security Policies
• Data management
• Search & investigation
• Reports
• Service assurance

20. Centralized access administration
for preintegrated SaaS apps and
other Cloud-based apps.
Secure business processes with
advanced access
management capabilities.
Comprehensive identity and
access management console.
Security reporting that tracks
inconsistent access patterns,
analytics and alerts.
Azure Active Directory Premium
Built-in security features.

21. Microsoft Advanced Threat Analytics
• Microsoft ATA
• Käitumis analüüs
• Ründe tuvastamine
• Monitooring; teavitused
• Enterprise Mobility Suite
• Azure Active Directory Premium
• Identiteedihaldus
• Azure Rights Management
• Failiõiguste haldus
• Microsoft Intune
• Seadmetehaldus

22. Microsoft Advanced Threat Analytics
Abnormal Behavior
 Anomalous logins
 Remote execution
 Suspicious activity
Security issues and risks
 Broken trust
 Weak protocols
 Known protocol vulnerabilities
Malicious attacks
 Pass-the-Ticket (PtT)
 Pass-the-Hash (PtH)
 Overpass-the-Hash
 Forged PAC (MS14-068)
 Golden Ticket
 Skeleton key malware
 Reconnaissance
 BruteForce
 Unknown threats
 Password sharing
 Lateral movement

23. Demo
Grupipoliitikate rakendamine
Alustame demoga pärast 5 min pausi

24. Kuidas ja kuhu varundada andmeid?
• Pilv
• Microsoft Azure Backup – serverid ja tööjaamad
• Microsoft OneDrive – Tööjaamad ja nutiseadmed
• Lokaalsed lahendused
• NAS seade
• Välised kõvakettad
• Kaitse varukoopiat
• Seadista varukoopiate tegemiseks teenuskonto
• Eemalda päritavad õigused sihtkaustalt – lisa teenuskonto ja SYSTEM
• Kasuta peidetud jagatud kaustu (share$)

25. Kuidas käituda kui nakatumine on toimunud?
• Eemalda nakatanud arvuti võrgust
• Tee diagnostika
• Tööjaamas eemalda kõvaketas (kloonimiseks, arhiivi otstarbel)
• Tuvasta ründe ulatus
• Serveris Fail Server Resource Manager
• Tee File Screen filter

26. Kuidas taastada andmed
• Taastamine eelmiste versioonide järgi (Volume Shadow Copy Service,Previous Versions)
• Terviklik varukoopiast taastamine
• Terve dokumendikataloog
• Terve virtuaalmasin
• Microsoft Support
• Sharepoint Online
• Exchange Online
• OneDrive for Business
• Tööjaamas taastamine puhtale kõvakettale
• Maksa ära! Hävita pärast krediitkaart!
• Kas ja kuidas teavitada CERT Eestit?
• Kas ja kuidas teavitada kliente?

27. Kolm erinevat stsenaariumit reaalsetest
juhtumitest
• Arvutis on dokumendid krüptitud
• Failid peavad oleme sünkroniseeritud. Taastamine on uue süngi
seadistamine
• Serveris asuvad failid on krüpteeritud.
• SimpliVity (VEEAM oskab ka)
• SharePoint Online on krüpteeritud (süngitud failid)
• Ükshaaval taastamine (versioonihaldus),
• Microsofti support (Enterprise, CSP)

28. Tänan!
(järgnevad 3 slaidi tehniliste täpsustustega)

29. Software Restriction Policies
• GPO tegemiseks
• Computer ConfigurationPoliciesWindows SettingsSecurity
SettingsSoftware Restrictions PoliciesAdditional Rules
• %AppData%*.exe Disallowed
• %AppData%**.exe Disallowed
• %AppData%Temp**.exe Disallowed
• %TEMP%*.exe Disallowed
• %TEMP%*.*.exe Disallowed
• %TMP%*.exe Disallowed
• %TMP%*.*.exe Disallowed

30. File Server Resource Manager
• Windows Serveri roll
• Filescreen list - http://pastebin.com/BQV7yr8V
• Powershell käsk – vaata slaidi märkmeid
• Create a File Screen Template https://technet.microsoft.com/en-
us/library/cc731318(v=ws.11).aspx
• Create a File Screen https://technet.microsoft.com/en-
us/library/cc754163(v=ws.11).aspx

31. Local Administrator Password Solution
(LAPS)
• Techneti blogi
https://blogs.technet.microsoft.com/askpfeplat/2015/12/28/local-
administrator-password-solution-laps-implementation-hints-and-
security-nerd-commentary-including-mini-threat-model/
• Technet https://technet.microsoft.com/en-
us/mt227395.aspx?f=255&MSPPError=-2147217396