Tavaline tööpäev võib muutuda õudusunenäoks, kui inimene kaotab valvsuse ja avab kahtlase e-kirjaga kaasas oleva manuse. Primendi hommikukohvil vaatasime üle järgmised teemad: kuidas nakatumist ennetada ja mida peab tegema, et nakatumisest ei tuleneks kahju või see oleks minimaalne;
kuidas ja kuhu varundada andmed, et need oleksid peale nakatumist kättesaadavad ja kasutatavad; kuidas käituda kui nakatumine on toimunud ning kuidas taastada andmed.
Esinejad: Toomas Mõttus (Primend) ja Andres Nurk (Primend)
3. Infotehnoloogia on üha vähem
tehnoloogia ja üha rohkem teenused
• Pilveteenused
kasvavad u 20% aastas
• Primendi käive
2016H1 975 781 €
• Teenuste osakaal
käibest on 57.66 %
€413,134
€281,522
€281,125
€0
€200,000
€400,000
€600,000
€800,000
€1,000,000
€1,200,000
2014H1 2014H2 2015H1 2015H2 2016H2
Seadmed ja tarkvara
Edasimüüdud teenused
Oma teenused
5. Väljakutse: seadmete ja teenuste paljusus
Infotehnoloogiat ei kasutata enam läbi seadmete,
vaid läbi teenuste. Töövoos kasutatakse hetkel
kõige mugavamat seadet
sõltuvalt tegevusest või
asukohast.
PILVETEENUSED
6. Primendi tugi pilveteenustele
• help@primend.com
• ZenDesk
• Nagios, OCS
• Soovitusindeks
• Yammer
• Skype for Business
Teenus on kiire siis, kui inimene tunneb, et
teenus on kiire.
Teenus töötab siis, kui inimene saab seda
kasutada
8. Päevakava
• Mis asi on lunavara, kuidas kahju hinnata?
• Kuidas nakatumist ennetada?
• Kuidas ja kuhu andmeid varundada?
• Kuidas käituda nakatumise korral?
• Kuidas taastada tööjaamu?
• Kogemus – taastamise tegevuskava
• Nakatunud arvuti käsitlemine
• Taastamine andmekeskuses
• Taastamine SharePoint Online pilveteenuses
9. Suurimad andmelekked
• Dropbox
• 68,7 miljoni kasutaja andmed
• Linkedin
• 2012 aasta kokku 117 miljoni kasutaja andmete lekkimine
• Sony PSN
• 77 miljoni kasutaja andmed lekkisid, mitme nädalane teenuse katkestus
• Mossack Fonseca
• 2,6 TB andmelekke
• Myspace
• 427 miljoni kasutaja andmed
• Teamviewer
• Arvutitest piltide ülevõtmine
Info pärineb http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
10. Lunavara ajalugu
• CryptoLocker, Locky, CryptoWall
• Winlocker, Satana, Petya
• CryptoWall on teeninud $18 mln (ArsTechnica 25.juuni 2015)
• 1989 AIDS
• 1996 Young and Yung – PKI
• 2006 Gpcode
• 2011 Windows Product Activation
• 2013 CryptoLocker
• 2014 CryptoWall
12. Mida teeb lunavara andmetega
• Krüpteerib tugeva võtmega kõiki faile
• Muudab failinimed ja laiendid
• Kuvab teate krüpteerimise kohta
• Nõuab tasu määratud aja jooksul Bitcoinides
• Krüpteerib kõik failid, mis on kasutajatele ligipääsetavaks tehtud
• Kogub arvutist info kasutaja, e-mailide ja salasõnade kohta
13. Valmistumise meetodid
• Viirusetõrje ja tark tulemüür
• Poliitikad
• Varundamine
• Keela veebilehitsejas popupid ja reklaamid
• Ole ettevaatlik (töötajate juhendamine)
• Lülita võrgust välja
• Kas ja kuidas teavitada politseid
• Kuidas hankida BitCoine?
14. Lunavara intsidendi mõju hindamine
Kui palju on ettevõttes töötajaid 100 100 100 töötajat
Mitut töötajat lunavara intsident mõjutas 2 10 100 töötajat
Lunavara ründest taastamise aeg 2 5 7 päeva
Mõju ettevõttele 2,00% 10,00% 100,00%
Tegelik taastamise aeg koos kaasnevate kuludega 4 10 14
Ettevõte käive 5 000 000 € 5 000 000 € 5 000 000 €
Ettevõtte kasum 100 000 € 100 000 € 100 000 €
Mõju ettevõtte majandustulemustele -1 095,89 € -13 698,63 € -191 780,82 €
Kasum / kahjum pärast rünnet 98 904,11 € 86 301,37 € -91 780,82 €
72% ei saa oma dokumentidele ligi 2 päeva
32% ei saa dokumentidele ligi 5 ja enam päeva
15. Kuidas nakatumist ennetada?
• Probleemid
• Kurjategijatel on aega piisavalt
• Kaitstakse ainult perimeetrit
• Puudub ülevaade süsteemis toimuvast
• Nõrgad paroolipoliitikad
• Vähene kasutajate juhendamine
• Nõrk turvalisus nutiseadmetes
16. Kuidas nakatumist ennetada?
• Kasutaja õiguste jagamine
• Teenuskontode korrektne seadistamine
• Managed Service Accounts konteiner
• Luba sisse logimine kindlates serverites
• Eemalda tavakasutajalt administraator õigused
• Delegeeri administraator kontodele õigused
• Least privilege põhimõtted
• Dokumenteeri, k.a muudatused
17. Kuidas nakatumist ennetada?
• Grupipoliitika sätted
• Local Administrator Password Solution (LAPS)
• User Account Control (UAC)
• Bitlocker
• UEFI Boot
• Secure Boot
• Software Restriction Policies
• Keela suvalistest kohtadest tarkvara käivitamine
• Nimekiri lubatud tarkvarast
• Applocker
• Windows 10 Enterprise
• File Server Resource Manager
• Tee file screen filter
18. Kuidas nakatumist ennetada?
• Installeeri kõik uuendused
• Operatsioonisüsteemi uuendused
• Tarkvara uuendused
• Koolita kasutajaid
• Mitte kasutama tundmatuid programme
• Ära paigalda tundmatuid äppe
• Kahtlase emaili puhul tuleb teavitada
20. Centralized access administration
for preintegrated SaaS apps and
other Cloud-based apps.
Secure business processes with
advanced access
management capabilities.
Comprehensive identity and
access management console.
Security reporting that tracks
inconsistent access patterns,
analytics and alerts.
Azure Active Directory Premium
Built-in security features.
21. Microsoft Advanced Threat Analytics
• Microsoft ATA
• Käitumis analüüs
• Ründe tuvastamine
• Monitooring; teavitused
• Enterprise Mobility Suite
• Azure Active Directory Premium
• Identiteedihaldus
• Azure Rights Management
• Failiõiguste haldus
• Microsoft Intune
• Seadmetehaldus
24. Kuidas ja kuhu varundada andmeid?
• Pilv
• Microsoft Azure Backup – serverid ja tööjaamad
• Microsoft OneDrive – Tööjaamad ja nutiseadmed
• Lokaalsed lahendused
• NAS seade
• Välised kõvakettad
• Kaitse varukoopiat
• Seadista varukoopiate tegemiseks teenuskonto
• Eemalda päritavad õigused sihtkaustalt – lisa teenuskonto ja SYSTEM
• Kasuta peidetud jagatud kaustu (share$)
25. Kuidas käituda kui nakatumine on toimunud?
• Eemalda nakatanud arvuti võrgust
• Tee diagnostika
• Tööjaamas eemalda kõvaketas (kloonimiseks, arhiivi otstarbel)
• Tuvasta ründe ulatus
• Serveris Fail Server Resource Manager
• Tee File Screen filter
26. Kuidas taastada andmed
• Taastamine eelmiste versioonide järgi (Volume Shadow Copy Service,Previous Versions)
• Terviklik varukoopiast taastamine
• Terve dokumendikataloog
• Terve virtuaalmasin
• Microsoft Support
• Sharepoint Online
• Exchange Online
• OneDrive for Business
• Tööjaamas taastamine puhtale kõvakettale
• Maksa ära! Hävita pärast krediitkaart!
• Kas ja kuidas teavitada CERT Eestit?
• Kas ja kuidas teavitada kliente?
27. Kolm erinevat stsenaariumit reaalsetest
juhtumitest
• Arvutis on dokumendid krüptitud
• Failid peavad oleme sünkroniseeritud. Taastamine on uue süngi
seadistamine
• Serveris asuvad failid on krüpteeritud.
• SimpliVity (VEEAM oskab ka)
• SharePoint Online on krüpteeritud (süngitud failid)
• Ükshaaval taastamine (versioonihaldus),
• Microsofti support (Enterprise, CSP)