Dreamstime
StoryEditor

Obnova po ransomvéri: prečo to nie je len o zálohách

31.01.2025, 00:00

Incident, ktorý nedávno postihol slovenský kataster, okamžite upriamil pozornosť širokej verejnosti na kybernetickú bezpečnosť.

Mnohé z diskusií pod novinovými článkami či na sociálnych sieťach sa zjednodušujú na otázky týkajúce sa záloh: „Sú dostupné zálohy? A ak áno, kde sú a aké sú?“, a času: „Prečo obnova trvá tak dlho a kedy bude všetko späť?“ Ako odborníci na kybernetickú bezpečnosť máme bohaté skúsenosti z vyšetrovania aj veľkých ransomvérových incidentov a reakcií na ne. Dobre preto vieme, že odpovede na spomínané otázky vôbec nie sú jednoduché.

Ransomvérové útoky sú komplexné a obnova často trvá mesiace. Poďme si preto vysvetliť, čo sa pri takýchto incidentoch deje, a čo všetko je potrebné spraviť pri obnove.

Ransomvér

Pri ransomvérovom útoku je bežné, že napadnutá organizácia zistí, že sa niečo deje, až keď sa útočník rozhodne „odkryť karty“. Zvyčajne to robí až po tom, ako sa vopred dôkladne oboznámi s infraštruktúrou, ovládne ju, exfiltruje dáta a zabezpečí si aj „zadné dvierka“. Aby v prípade potreby vedel útok spustiť znova.

V praxi to vyzerá tak, že prístup k systémom je zablokovaný, vaše dôležité dáta sú v rukách útočníka – vy máte dáta zašifrované a čelíte žiadosti o výkupné.

Prečo nestačí „len“ obnoviť zálohu?

Ak by ste sa v tejto situácii spoliehali len na jednoduché obnovenie funkčných záloh, organizáciu by ste vrátili do stavu „tesne“ pred spustením šifrovania. V tom čase už ale útočník vo vašich systémoch prítomný bol a mal nad nimi kontrolu. Preto obnova zo záloh nestačí. Bez ich dôkladnej kontroly hrozí, že útočník útok znovu spustí.

Obnova sa preto začína pripraveným a aktuálnym Incident response plánom (IRP). Krok za krokom môže proces vyzerať nasledovne:

Prvé minúty po útoku

Ešte neviete, čo všetko bolo zasiahnuté. Prioritou je rýchlo zabrániť ďalšiemu šíreniu škôd, a preto izolujete sieť. Jednotlivé segmenty odpojíte od internetu a od seba navzájom. V kritických prípadoch doslova „vytiahnete káble“ (pozor, nie napájacie!). V prípade cloudovej infraštruktúry spravíte „snapshot“ aktuálneho stavu a zamedzíte prístup.

Prvé hodiny „po“

V ideálnom prípade sa začína operácia, ktorú ste si vopred dobre premysleli a máte ju zdokumentovanú v IRP. Improvizácia pod časovým tlakom a emóciami situáciu iba zhorší.

V prvom kroku zvoláte Incident response tím, ktorý bude celý proces riadiť a riešiť. Súčasne sa začína krízová komunikácia – o incidente je nevyhnutné okamžite informovať smerom dovnútra – zamestnancov; smerom von – klientov i partnerov; no rovnako aj regulátorov, OČTK, prípadne médiá, pretože chaos iba zhorší dôveru.

Pre tím, ktorý bude incident riešiť, je potrebné nielen rýchlo „zohnať“ čisté zariadenia, ale ich aj vybaviť potrebnými nástrojmi, dôkladne „hardenovať“ a ochrániť, aby sa pri práci v infikovanom prostredí minimalizovalo riziko ďalšej infekcie. Rovnaký postup sa týka základnej infraštruktúry, na ktorej budú fungovať (sieť, dátové nosiče atď.).

V tejto fáze sa začína aj mapovanie škôd – zisťuje sa, ktoré systémy, dáta a servery boli zasiahnuté. Využívajú sa k tomu pokročilé nástroje ako AV, EDR, FW, NDR či SIEM. Zbierajú sa dôkazy, všetko sa dokumentuje a uchováva pre ďalšie forenzné vyšetrovanie. Okrem toho sa stanovujú priority a rozhoduje, ktoré systémy alebo dáta sú najdôležitejšie a majú prednosť.

Všetky prístupové údaje sa okamžite nahrádzajú novými, silnými a unikátnymi heslami. Začína sa „hunting“ a IR tím pátra po známkach prítomnosti útočníka (novovytvorené účty, powershell skripty, zmenené konfigurácie atď.)

Počas prvých dní „po“

V nasledujúcich dňoch sa snažíte rýchlo obnoviť prevádzku, ale zároveň zabezpečiť, aby sa incident hneď nezopakoval. Ako to vyzerá v praxi?

Osvojíte si paranoidný prístup a to, čo nebolo dostatočne overené a zabezpečené, považujete za kompromitované. Prakticky od nuly budujete novú, bezpečnú sieťovú infraštruktúru. Dôsledne dbáte na segmentáciu (ideálne mikrosegmentáciu) a princíp minimálnych nevyhnutných prístupov (least privilege). Zároveň po celú dobu podrobne sledujete, čo sa v novej infraštruktúre v reálnom čase deje.

Súčasne sa v samostatnej časti infraštruktúry začína obnova systémov. Zálohy sa kontrolujú na prítomnosť škodlivého kódu a dochádza k postupnej obnove dát, operačné systémy a aplikácie sa nanovo inštalujú a dôkladne „hardenujú“. Na nové systémy nasadzujete bezpečnostné nástroje (napr. EDR) a tiež monitorujete, čo sa v nich deje. Až po dôkladnej kontrole presúvate systémy do pripravených nových segmentov.

Paralelne s obnovou prebieha aj dôkladná forenzná analýza, ktorej cieľom je identifikovať, ako k útoku došlo, a zistiť, aké zraniteľnosti boli zneužité. Zistenia (lessons learned) použijete na zlepšenie svojej obrany a reakcie v budúcnosti.

Nezabúdate na krízovú komunikáciu s relevantnými stranami – OČTK, regulátorom, dodávateľmi, prípadne ďalšími tímami alebo organizáciami, s ktorými musíte, alebo vám môžu poskytnúť podporu.

Ďalšie týždne a mesiace

Pokračujete v rozbehnutých aktivitách a postupne sa posúvate v procese obnovy. Systémy a služby, ktoré už prešli obnovou, dôkladnou kontrolou a testovaním, uvádzate späť do prevádzky. Každý krok robíte systematicky, aby sa zabezpečila spoľahlivosť a bezpečnosť obnovených častí. Obnova preto trvá dlho. Ako dlho?

Napríklad pri rozsiahlom ransomvérovom útoku na írsky zdravotnícky systém v roku 2021 trvala obnova polovice systémov štyri týždne, zvyšok sa obnovoval ďalšie tri mesiace. Ransomvérový útok zasiahol v roku 2020 aj spoločnosť Garmin, ktorá obnovila prvé služby po zhruba týždni, väčšinu do mesiaca. Mesto Baltimore (USA) na to v 2019 potrebovalo 4 mesiace.

V realite to, samozrejme, závisí od mnohých faktorov, ale pri väčšej organizácii so zložitými informačnými systémami (ako napr. Kataster) je určite reálne uvažovať o mesiacoch. V horizonte týždňov môžeme očakávať obnovenie niektorých čiastkových služieb.

P.S. Dôležité!

Nezabúdajme, že aj incident response tím tvoria ĽUDIA. Rovnako ako pri katastrofách, aj tu v úprimnej snahe pomôcť musí každý z nich musí niekedy aj jesť, piť, nadýchať sa čerstvého vzduchu, či vyspať sa. Len tak dokážu títo experti podávať špičkový výkon aj počas vypätých dní, ktoré sa veľmi pravdepodobne pretiahnu na týždne, alebo dokonca mesiace. Bez fyzického a psychického odpočinku riskujete ich vyčerpanie a prudké zníženie kvality práce. A verte mi, bez nich to „dáte“ asi len ťažko.

Martin Lohnert,

riaditeľ centra kybernetickej bezpečnosti void SOC od Soitronu

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
19. február 2025 14:06