cellpadding='0' cellspacing='0' border='0' > Войти или зарегистрироваться на Proekt.by  cellpadding="2" cellspacing="0" >
выберите раздел

""

 Общие вопросы / бюро ГИПов / Как обезопасить компьютер от хакерского шифрования информации.  (Прочитано 437 раз)

 
Админ ОФЛАЙН, открыть меню «Личное сообщение»  Administrator - Старожил  Administrator - Старожил  Administrator - Старожил  19 Августа 2018
Репутация: 165  [+] , сообщений: 4 243 ,  ООО "ПрофЭлектроПроект", Администратор Proekt.by, cтаж: 13 лет Belarus

 
 
В отделе по раскрытию преступлений в сфере высоких технологий криминальной милиции УВД Миноблисполкома подготовили  ряд рекомендаций, следуя которым, можно минимизировать риск проникновения в компьютер посторонних, тем самым предотвратить хакерское шифрование информации за выкуп.



Рабочее место современного проектировщика - это компьютер и рабочая информация на нем нуждается в защите, в том числе и от хакерского шифрования за выкуп. Недавно атаке злодеев, которые зашифровали на ПК все файлы и потребовали выкуп за «ключ», который возвратит их в обычный вид, подвергся один из старейших и наиболее известных в стране производителей молочной продукции. Чуть раньше неизвестные парализовали работу крупного автомобильного дилера.

Кто виноват в атаках.
Новую волну шифрования связывают с тем, что хакерская группировка получила доступ к специальным шпионским программам, которые американское Агентство национальной безопасности (АНБ) использовало для разведывательной деятельности. Сначала их пытались продавать, затем выложили в открытый доступ, чем и воспользовались сетевые вымогатели. Антивирусные программы по разным причинам не всегда в состоянии защитить от хакерских атак – вредоносные программы могут содержать сообщения, пришедшие по электронной почте, подменные сайты. Проникнуть на компьютер злоумышленники могут и путем подбора паролей.

– Выезжая в организации, подвергшиеся атаке шифровальщиков, изучая структуру их работы, мы пришли к выводу, что системные администраторы и руководство не обеспечивают должным образом безопасность, – говорит Дмитрий Дудков, начальник ОРП в сфере высоких технологий КМ УВД Миноблисполкома. – В результате анализа способов и методов совершаемых киберпреступлений подготовлены рекомендации, как свести к минимуму риски. Они пригодятся и системным администраторам, и владельцам обычных компьютеров, которые имеют выход в интернет.

Тайные хранилища и секреты.
Многие делают резервные копии баз данных, однако хранят их либо на этом же сервере, только в соседней папке, либо в облачном хранилище, куда автоматически получает доступ тот, кто зашел на компьютер. Разумеется, эта информация тоже шифруется.

– Сетевое хранилище следует делать отдельным и невидимым для посторонних, доступ к нему может быть только у администратора, – настоятельно рекомендуют в отделе «К». – Его можно создать в «облаке» или же приобрести отдельный сетевой накопитель, в котором используют несколько винчестеров, настроенных с технологией виртуализации данных «RAID массив». В таких массивах несколько винчестеров работают как единый диск, и в каждом хранится идентичная информация.

Крайне важно разграничить права пользователей. Иначе, взломав пароль, например, менеджера, с помощью инструментов АНБ через специальные команды злоумышленники могут повысить свои права до уровня администратора и уже в системе делать все, что им заблагорассудится. Для эффективного управления пользователями в локальной сети и ее безопасностью компьютеры необходимо объединить в доменную сеть организации, управляемую главным сервером (контроллером домена). При настройке его важно правильно распределить пользователей по отделам и ограничить им доступ через групповую политику. Необходимо указать, какие программы им разрешено запускать, а какие нет. При этом лучше от всех закрыть системный диск «С», позволив разрешить запуск только определенного ПО (офисного и бухгалтерского). Стоит также ограничить количество попыток ввода неверного пароля.

– Для работы создается общий каталог, где можно обмениваться информацией, все остальные разделены. Скажем, работник не сможет зайти в папку своего начальника, скачать что-либо или отключить антивирусную программу. Если кто-то и запустит вредоносный файл, полученный по электронной почте или принесенный на флешке, то повредится только общий каталог для обмена ну и папка того человека. А это уже не такая масштабная потеря, которая парализует работу организации на дни и даже на недели.

Не знаю пароль…
Достаточно простой, но эффективный способ защититься от проникновения извне – запаролить антивирусную программу. Первое, что делает хакер, забравшись на чужой сервер, – приказывает завершить работу «антивирусника». Здесь его будет ожидать препятствие.

Кстати, о паролях… К их выбору следует подходить ответственно, не останавливаясь на простейших вариантах. Когда сервер открыт для интернета, то есть туда можно зайти удаленно, хакеры пытаются их подобрать. Список наиболее часто используемых паролей есть в сети, существуют и утилиты, которые их генерируют.

Еще один простой вариант защиты – каждому пользователю можно определить время работы. Например, бухгалтер, который работает с 9.00 до 18.00, сможет зайти к себе только с 8.30 до 19.00. Все остальное время во входе будет отказано, даже если пользователь введет правильный логин и пароль. Так можно и проследить, под чьей учетной записью к вам пытается проникнуть вредоносная программа: обычно это происходит ночью или по выходным.

Хорошо бы настроить брандмауэр, то есть межсетевой экран, так, чтобы он разрешал доступ к серверу только с определенных IP-адресов – скажем, только провайдеров, зарегистрированных на территории Беларуси и той страны, с которой фирма поддерживает тесные партнерские отношения. Тогда хакерская программа из Африки не сможет даже «прощупать» на прочность ваш пароль.

Меняйте адреса и явки.
Все cерверы имеют статический IP-адрес в сети интернет. Если есть необходимость работать удаленным доступом, надо менять стандартный порт подключения к удаленному рабочему столу (3389) на пятизначный, скажем 35328. Нестандартный порт собьет с толку сканер злоумышленников, а закрытие неиспользуемых портов убережет от незваных гостей.

Фильтрация трафика позволит организации не только защититься от злонамеренных чужаков, но и оградить работников от путешествий по соцсетям вместо работы. Для этого достаточно активизировать в своем личном кабинете у провайдера функцию «Родительский контроль».

Стопроцентной защиты от сетевых злоумышленников нет, но использование перечисленных рекомендаций вместе с хорошим антивирусным программным обеспечением и актуальными обновлениями безопасности позволит свести к минимуму риски проникновения извне.

Источник: www.sb.by
Евгений, Екатеринбург ОФЛАЙН, открыть меню «Личное сообщение»   - Эксперт   - Эксперт   - Эксперт   - Эксперт   - Эксперт  20 Августа 2018
Репутация: 17  [+] , сообщений: 517 ,  Эффективное проектирование, Russian Federation

 
 
Советы в духе капитана Очевидность и понятны каждому и без того. Другое дело, что никто этого не делает. Но тут еще одно напоминание бессильно.
Цитировать
– Для работы создается общий каталог, где можно обмениваться информацией, все остальные разделены. Скажем, работник не сможет зайти в папку своего начальника, скачать что-либо или отключить антивирусную программу. Если кто-то и запустит вредоносный файл, полученный по электронной почте или принесенный на флешке, то повредится только общий каталог для обмена ну и папка того человека.
а это вообще вредный совет.
Во-первых. Никаких папок "начальника" или "того человека" быть не должно. Есть папки проектов, к которым у конкретного человека есть доступ или нет. Потому что иначе потом чтобы найти какой-либо проект, придется искать его по папкам "того человека", который уже давно уволился.
Во-вторых. Никаких папок для обмена а-ля "общая папка" быть не должно. Информация либо нужна и ее надо хранить с необходимым доступом и пользоваться ей (а не обмениваться ей), либо не нужна - тогда ее сразу надо удалить как спам. Иначе обязательно возникнет ситуация "а где такой-то файл? а... он же оказывается в обменнике валялся, а его почистили на прошлой неделе". Файл - это либо задание, либо рабочий файл - соответственно он должен и храниться. Уже почти 10 лет работаем без "общей папки" и все прекрасно структурировано. Хотя постоянно новые сотрудники спрашивают "а у вас есть обменник?".
Что до шифровальщиков, если бы все-было так просто, от них бы не страдали такие организации как ..оснефть (хотя они это отрицают, я точно знаю из надежных источников, что они пострадали и весьма серьезно). Мы для себя выбрали (в том числе) такую стратегию:
1. Информация хранится на сервере в одном офисе, облаке, втором офисе. Понятно, что это не спасает от шифровальщика, но спасает от физической поломки дисков сервера.
2. Раз в сутки все новые файлы копируются на третий сервер, а оттуда во второе независимое облако, (за пределами РФ). Т.е. если файлы на основном сервере будут зашифрованы, они просто будут скопированы как новые и попадут как новые во второе облако, не затирая старых.
3. Удаленные пользователи имеют копии файлов и если оригиналы будут зашифрованы, они опять же будут получены как копии. Это должно помочь, если все сервера будут одновременно заражены.
Мне кажется, что многие проектные компании до сих пор не понимают ценности файлов. Хотя по идее все, что у нас есть это файлы, именно в них весь наш капитал. Как пример - сколько стоит "железо" за которым работает проектировщик - ну пусть 1,5 тысячи долларов, ПО - ну пусть еще столько же (в среднем). Хотя современное ПО за редкими исключениями не может быть утрачено. А файлы? - да их проектировщик каждый месяц генерирует на теже 1,5 тысячи долларов. И за несколько лет накапливаются файлы на сотни тысяч и миллионы. И жалеть в данной ситуации 300-1000 долларов в год на системы хранения это непозволительная глупость.
Ну, а прикрывать соцсети и флешки это вообще детский сад, по крайней мере в небольших организациях, да и в больших чаще всего несет больше вреда чем пользы. Важно чтобы человек делал свою работу, а сидит ли он при этом на фейсбуке, не так уж и важно.
 Стр.: [1]   

 Общие вопросы / бюро ГИПов (в разделе 3084 тем):
Подработки (всего 32):
Новый
Ищете специалистов для разработки разделов проектной документации?!
Разместите бесплатно информацию о предлагаемой подработке и заинтересованные проектировщики оперативно предложат свои услуги. А вам, как заказчику, остается только выбрать наиболее выгодное предложение!
Задержан директор Белэнергосетьпроект за откат от производителя.
КГБ 18 сентября 2018 года с поличным при получении взятки в размере 20 000 долларов США задержан директор РУП «Белэнергосетьпроект» Андрей Короткевич.
Специальный монтаж - надежный подрядчик (ПС,ОП,ОС,ВН,СКУД,СС,АПТ,ПДЗ).
ЧУП "Специальный монтаж" - проверенный временем и серьезными проектами подрядчик предлагает ген проектировщикам и ген подрядчикам свои услуги по проектированию и монтажу разделов ПС и ОП, ОС, ВН, СКУД, СС (все подразделы) АПТ и ПДЗ (технология и автоматика). Имеются все необходимые лицензии и аттестаты. Опыт работы с серьезными заказчиками.
Резюме портфолио на Proekt.by. Тестируем новый сервис!
Предлагаю протестировать бета-версию нового сервиса Proekt.by: "Резюме-портфолио". Уже сейчас полноценно можно вносить и редактировать свое резюме  в удобном читабельном виде.
3D проектирование пром. объектов на основе Российских технологий.
РНТЦ: Строительство и ценообразование. BIM технологии (Минск, 16.10).
Декрет №7 работает?! Делимся опытом.
Немецкий BIM-опыт проектирования отеля. Вдохновение Hörmann.
Рекомендации МАиС по технической модернизации и капитальному ремонту.
Обязательную идентификацию на форумах хотят ввести в РБ.
cellspacing="0" cellpadding="3" border="0" > Онлайн 171, всего 164603(+34) пользователей |
Powered by SMF 1.1.11 | SMF © 2006, Simple Machines LLC
Статистика и условия размещения рекламы на Proekt.by