SlideShare une entreprise Scribd logo

шаблон стримування та відновдення 01 ay

Télécharger en tant que ODT, PDF
Alexey Yankovski
Alexey Yankovski

шаблон стримування та відновдення після кібератаки

Internet
1  sur  4
ШАБЛОН ПЛАНУ СТРИМУВАННЯ НА ВІДНОВЛЕННЯ ДЛЯ ВЕЛИКОЇ ОРГАНІЗАЦІЇ Назва заходу Виконавець Термін виконання Відповідальний 1 Створення антикризової команди із залученням вищого керівництва, PR- служби, внутрішніх комунікацій, керівництва ІТ, служби безпеки, керівників ключових підрозділів (operations) 2 Відключення від мережі всіх критичних систем 3 Блокування трафіку по портам 1024- 1035, 135, 445 на всіх внутрішніх мережевих пристроях. 4 Блокування трафіку до командних центрів на ключових комутаторах та зовнішніх firewall: 185.165.29.78 84.200.16.242 french-cooking.com 185.165.29.78 84.200.16.242 111.90.139.247 95.141.115.108 coffeinoffice.xyz 5 Заблокувати на зовнішніх мережевих екранах доступу в Інтернет з усіх сегментів локальної мережі(в ГО та філіях), окрім безпечного мережевого сегменту з якого буде працювати команда задіяня в процесах відновлення 6 Створення безпечних мережевих сегментів (VLANs) для ГО та філій, а також для роботи адміснтаторів задіяних в процесах відновлення (ці мережеві сегменти мають бути захищені від інших сегментів внутрішньої мережі ) 7 Перевод найбільш критичних процесів в ручний режим або в режим посилених контролів 8 Початок експрес-диагностики найбільш критичних систем — визначення чи було їх скомроментовано, та напрямків посилення їхньої безпеки. Виведення найбільш критичних (наприклад, платіжних систем, АСУСТ тощо з домену на загальної мережі) 9 Організація захищених робочих місць для ІТ фахівців(в ГО та філіях). Встановлення з переіврених джерел
операційних систем з останніми оновленнями (налаштування hostbasefirewall для унеможливлення доступу до цих ПК з внутрішньої мережі в разі якщо неможливо виділення окремого VLAN) 10 Налагодження мережевого моніторингу. Встановлення програмного забезпечення SNORT в серверних  Налаштувати PORT SPAN на основних комутаторах ГО для моніторингу трафіку всіх серверів та ПК  Встановити ПЗ SNORT for Linux з конфігурацією по замовчанню  Розпочати моніторинг мережевого трафіку та виявлення підозрілої активності 11 Створити базу еталонного ПЗ для перевстановлення ПК в головному офісі та на відділенях (ОС, патчі, АРМи та ін.), та викласти на захищений FTP 12 Встановити standalone сервер WSUS для централізованого розповсюдження оновлень (сервер має бути перевстановлений з нуля, мати всі оновлення безпеки та розташований в безпечному мережевому сегменті, бути відключений від домену, та налаштований Windows Firewall для унеможливлення віддаленого доступу до нього по всім портам, окрім порту WSUS) 13 Провести тестову розшифровку гіпервізора на якому розташовані критичні системи. Спробувати відновити дані власними силами (LiveCD, R-Studio та ін.) 14 Після роз шифровки гіпервізора перевірити чи зашифровані віртуальні машини. Для цього, НЕ ЗАПУСКАЮЧИ віртуальні машини, спробувати замонтувати їх диски. В разі якщо диски не зашифровані – перевірти на наявність при знаків зараження (файл perfc.dat, та просканувати засобом YARA на хеш- суми уражених файлів.) Встановити
оновлення безпеки та останні патчі. Вивести з ураженого домену та підключити до «чистого» домену та чистого сегменту мережі Створити резервні копії дисків чи всієї критичної інформації Неможна знищувани пошкоджені хакерами операційні системи — необхідно створити image для подальшого вивчення 15 Паралельна задача Відновити із бекапів уражені сервери в разі наявності бекапів. Перевірити на наявність ураження (файл perfc.dat), та просканувати засобом YARA на хеш-суми уражених файлів.) Встановити оновлення безпеки та останні патчі. Після цього підключити до «чистого» домену 16 Відновлення файлів з ПК в Головному Офісі, на філіях та відділеннях. Наразі відомо що вірус шифрує тільки MBR та хедери файлів. Також, в разі якщо копм’ютер було виключено під час шифрування, не всі диски та файли були зашифровані. Тому відновлення даних без відновлення ОС можливо Варіанти – 1) Загрузити операційну систему за допомогою LiveCD. Підмонтувати диски, відновити уражені файли 2) А) Вставити диск ураженого ПК в неуражений ПК. Б) Через утиліту управління дисками видалити розділи, створити нові та розділи, та запустити швидке форматування. С) Встановити ПЗ R- Studio, яке розпізнає файли. Обов’язкова перевірка відновлених файлів засобами YARA 3) Запустити bootrec /RebuildBcd bootrec /fixMbr bootrec /fixboot 17 Підготовка чистих ГО, філіях – інсталяція нових Windows, та всіх оновлень безпеки з Бази еталонного ПЗ.
18 Копіювання на ці ПК відновлених та перевірених файлів та встановлення АРМів 19 Перевстановлення серверів для критичних систем в ГО та філіях (встановлення Windows та security updates) 20 Відновлення втрачених ID та сертифікатів з резервної копії 21 Запуск чистого домен контролера Варіатни – 1) встановлення нового 2) підключення до розгорнутого в Хмарі Чистий домен контролер має бути в безпечному мережевому сегменті 22 Переведення вичищених або перевстановлених серверів та ПК до чистого мережевого сегменту та підключення їх до чистого контролеру домену 23 Розгортання криміналістичної лабораторії на базі безкоштовних утіліт для вивчення зразків злочинного коду на написання правил YARA 24 Проведення розслідування та встановлення timeline приникнення 25 Постійний запуск засобів YARA, виявлення уражених сисием, блокування цих систем, дослідження злочиннонго коду та створення нових правил YARA

Recommandé

Asus Prime X370-A
Asus Prime X370-AAsus Prime X370-A
Asus Prime X370-AViktoriaShevchenko8
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
Cherniaev
CherniaevCherniaev
CherniaevVladmiervovanchik
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
магазин ідеал
магазин ідеалмагазин ідеал
магазин ідеалolegvasilets20133
 
ASUS ROG STRIX B360-H GAMING
ASUS ROG STRIX B360-H GAMING ASUS ROG STRIX B360-H GAMING
ASUS ROG STRIX B360-H GAMING ViktoriaShevchenko8
 
Security
SecuritySecurity
SecurityOleg Nazarevych
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1232435
 

Recommandé

Asus Prime X370-A
Asus Prime X370-AAsus Prime X370-A
Asus Prime X370-AViktoriaShevchenko8
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
Cherniaev
CherniaevCherniaev
CherniaevVladmiervovanchik
 
McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?McAfee ENS 10.7 - що нового ?
McAfee ENS 10.7 - що нового ?Vladyslav Radetsky
 
магазин ідеал
магазин ідеалмагазин ідеал
магазин ідеалolegvasilets20133
 
ASUS ROG STRIX B360-H GAMING
ASUS ROG STRIX B360-H GAMING ASUS ROG STRIX B360-H GAMING
ASUS ROG STRIX B360-H GAMING ViktoriaShevchenko8
 
Security
SecuritySecurity
SecurityOleg Nazarevych
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1232435
 
Ubuntu pack v1.9
Ubuntu pack v1.9Ubuntu pack v1.9
Ubuntu pack v1.9Денис Забіяко, BCIP
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
5
55
5Евгения Захаренкова
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Coreboot quick start
Coreboot quick startCoreboot quick start
Coreboot quick startPetro Nek
 
Комп'ютерні віруси
Комп'ютерні вірусиКомп'ютерні віруси
Комп'ютерні вірусиAlvinka18
 
Лекція №10
Лекція №10Лекція №10
Лекція №10Michael Attwood
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded Systemitconnect2016
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївjap2006
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
Урок 1
Урок 1Урок 1
Урок 1Andrey Podgayko
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
Лекція №11
Лекція №11Лекція №11
Лекція №11Michael Attwood
 
385 1 operaciyna_systema
385 1 operaciyna_systema385 1 operaciyna_systema
385 1 operaciyna_systemamarunasorokina
 
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиПрограмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиOlenka_Pavliuk
 
Основи роботи з дисками
Основи роботи з дискамиОснови роботи з дисками
Основи роботи з дискамиЛюдмила Яхно
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні вірусиSanya Dzhedzhera
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні вірусиSanya Dzhedzhera
 
Сетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятияСетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятияOlexander Kovalenko
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 
антивіруси
антивірусиантивіруси
антивірусиsalmn
 
8 клас урок 7
8 клас урок 78 клас урок 7
8 клас урок 7Александр Карпук
 

Contenu connexe

Tendances

McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБVladyslav Radetsky
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнVladyslav Radetsky
 
Coreboot quick start
Coreboot quick startCoreboot quick start
Coreboot quick startPetro Nek
 
Комп'ютерні віруси
Комп'ютерні вірусиКомп'ютерні віруси
Комп'ютерні вірусиAlvinka18
 

Tendances (6)

Ubuntu pack v1.9
Ubuntu pack v1.9Ubuntu pack v1.9
Ubuntu pack v1.9
 
McAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБMcAfee – конструктор Lego для ІБ
McAfee – конструктор Lego для ІБ
 
5
55
5
 
Невивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війнНевивчені уроки або логи антивірусних війн
Невивчені уроки або логи антивірусних війн
 
Coreboot quick start
Coreboot quick startCoreboot quick start
Coreboot quick start
 
Комп'ютерні віруси
Комп'ютерні вірусиКомп'ютерні віруси
Комп'ютерні віруси
 

Similaire à шаблон стримування та відновдення 01 ay

Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded Systemitconnect2016
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївjap2006
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиVladyslav Radetsky
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)zheniagolovash
 
385 1 operaciyna_systema
385 1 operaciyna_systema385 1 operaciyna_systema
385 1 operaciyna_systemamarunasorokina
 
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиПрограмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиOlenka_Pavliuk
 
Основи роботи з дисками
Основи роботи з дискамиОснови роботи з дисками
Основи роботи з дискамиЛюдмила Яхно
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні вірусиSanya Dzhedzhera
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні вірусиSanya Dzhedzhera
 
Сетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятияСетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятияOlexander Kovalenko
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Webkatiee_sm
 
антивіруси
антивірусиантивіруси
антивірусиsalmn
 
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...Ігор Гурін #Cronprog
 

Similaire à шаблон стримування та відновдення 01 ay (20)

Лекція №10
Лекція №10Лекція №10
Лекція №10
 
Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded System
 
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіївПрограмне забезпечення для оптимізації систем і дефрагментації носіїв
Програмне забезпечення для оптимізації систем і дефрагментації носіїв
 
Сам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файлиСам собі sandbox або як перевіряти файли
Сам собі sandbox або як перевіряти файли
 
Урок 1
Урок 1Урок 1
Урок 1
 
антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)антивірус Nod32(головаш євгенія)
антивірус Nod32(головаш євгенія)
 
Лекція №11
Лекція №11Лекція №11
Лекція №11
 
385 1 operaciyna_systema
385 1 operaciyna_systema385 1 operaciyna_systema
385 1 operaciyna_systema
 
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системиПрограмне забезпечення. Операційні системи. Основні елементи операційної системи
Програмне забезпечення. Операційні системи. Основні елементи операційної системи
 
Основи роботи з дисками
Основи роботи з дискамиОснови роботи з дисками
Основи роботи з дисками
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні віруси
 
компютерні віруси
компютерні вірусикомпютерні віруси
компютерні віруси
 
Сетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятияСетевые технологии для организации работы предприятия
Сетевые технологии для организации работы предприятия
 
Смирнова Катерина, Dr.Web
Смирнова Катерина, Dr.WebСмирнова Катерина, Dr.Web
Смирнова Катерина, Dr.Web
 
антивіруси
антивірусиантивіруси
антивіруси
 
8 клас урок 7
8 клас урок 78 клас урок 7
8 клас урок 7
 
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...
Контрольна робота на тему: "Створення тематичної презентації. Автоматична обр...
 
Розгортання середовища для Camunda
Розгортання середовища для CamundaРозгортання середовища для Camunda
Розгортання середовища для Camunda
 
Prizentatsyya
PrizentatsyyaPrizentatsyya
Prizentatsyya
 
Mikolay4ik
Mikolay4ikMikolay4ik
Mikolay4ik
 

Plus de Alexey Yankovski

IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaAlexey Yankovski
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineAlexey Yankovski
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineAlexey Yankovski
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійAlexey Yankovski
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvAlexey Yankovski
 

Plus de Alexey Yankovski (9)

Cybersecurity training
Cybersecurity training Cybersecurity training
Cybersecurity training
 
IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board Agenda
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
 
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in UkraineExisting situation and proposed solutions to improve Cybersecurity in Ukraine
Existing situation and proposed solutions to improve Cybersecurity in Ukraine
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
 
Кваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесійКваліфікаційні характеристики для ІТ-провесій
Кваліфікаційні характеристики для ІТ-провесій
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
 
Isaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vvIsaca cybers security_law_v12_vv
Isaca cybers security_law_v12_vv
 

шаблон стримування та відновдення 01 ay

  • 1. ШАБЛОН ПЛАНУ СТРИМУВАННЯ НА ВІДНОВЛЕННЯ ДЛЯ ВЕЛИКОЇ ОРГАНІЗАЦІЇ Назва заходу Виконавець Термін виконання Відповідальний 1 Створення антикризової команди із залученням вищого керівництва, PR- служби, внутрішніх комунікацій, керівництва ІТ, служби безпеки, керівників ключових підрозділів (operations) 2 Відключення від мережі всіх критичних систем 3 Блокування трафіку по портам 1024- 1035, 135, 445 на всіх внутрішніх мережевих пристроях. 4 Блокування трафіку до командних центрів на ключових комутаторах та зовнішніх firewall: 185.165.29.78 84.200.16.242 french-cooking.com 185.165.29.78 84.200.16.242 111.90.139.247 95.141.115.108 coffeinoffice.xyz 5 Заблокувати на зовнішніх мережевих екранах доступу в Інтернет з усіх сегментів локальної мережі(в ГО та філіях), окрім безпечного мережевого сегменту з якого буде працювати команда задіяня в процесах відновлення 6 Створення безпечних мережевих сегментів (VLANs) для ГО та філій, а також для роботи адміснтаторів задіяних в процесах відновлення (ці мережеві сегменти мають бути захищені від інших сегментів внутрішньої мережі ) 7 Перевод найбільш критичних процесів в ручний режим або в режим посилених контролів 8 Початок експрес-диагностики найбільш критичних систем — визначення чи було їх скомроментовано, та напрямків посилення їхньої безпеки. Виведення найбільш критичних (наприклад, платіжних систем, АСУСТ тощо з домену на загальної мережі) 9 Організація захищених робочих місць для ІТ фахівців(в ГО та філіях). Встановлення з переіврених джерел
  • 2. операційних систем з останніми оновленнями (налаштування hostbasefirewall для унеможливлення доступу до цих ПК з внутрішньої мережі в разі якщо неможливо виділення окремого VLAN) 10 Налагодження мережевого моніторингу. Встановлення програмного забезпечення SNORT в серверних  Налаштувати PORT SPAN на основних комутаторах ГО для моніторингу трафіку всіх серверів та ПК  Встановити ПЗ SNORT for Linux з конфігурацією по замовчанню  Розпочати моніторинг мережевого трафіку та виявлення підозрілої активності 11 Створити базу еталонного ПЗ для перевстановлення ПК в головному офісі та на відділенях (ОС, патчі, АРМи та ін.), та викласти на захищений FTP 12 Встановити standalone сервер WSUS для централізованого розповсюдження оновлень (сервер має бути перевстановлений з нуля, мати всі оновлення безпеки та розташований в безпечному мережевому сегменті, бути відключений від домену, та налаштований Windows Firewall для унеможливлення віддаленого доступу до нього по всім портам, окрім порту WSUS) 13 Провести тестову розшифровку гіпервізора на якому розташовані критичні системи. Спробувати відновити дані власними силами (LiveCD, R-Studio та ін.) 14 Після роз шифровки гіпервізора перевірити чи зашифровані віртуальні машини. Для цього, НЕ ЗАПУСКАЮЧИ віртуальні машини, спробувати замонтувати їх диски. В разі якщо диски не зашифровані – перевірти на наявність при знаків зараження (файл perfc.dat, та просканувати засобом YARA на хеш- суми уражених файлів.) Встановити
  • 3. оновлення безпеки та останні патчі. Вивести з ураженого домену та підключити до «чистого» домену та чистого сегменту мережі Створити резервні копії дисків чи всієї критичної інформації Неможна знищувани пошкоджені хакерами операційні системи — необхідно створити image для подальшого вивчення 15 Паралельна задача Відновити із бекапів уражені сервери в разі наявності бекапів. Перевірити на наявність ураження (файл perfc.dat), та просканувати засобом YARA на хеш-суми уражених файлів.) Встановити оновлення безпеки та останні патчі. Після цього підключити до «чистого» домену 16 Відновлення файлів з ПК в Головному Офісі, на філіях та відділеннях. Наразі відомо що вірус шифрує тільки MBR та хедери файлів. Також, в разі якщо копм’ютер було виключено під час шифрування, не всі диски та файли були зашифровані. Тому відновлення даних без відновлення ОС можливо Варіанти – 1) Загрузити операційну систему за допомогою LiveCD. Підмонтувати диски, відновити уражені файли 2) А) Вставити диск ураженого ПК в неуражений ПК. Б) Через утиліту управління дисками видалити розділи, створити нові та розділи, та запустити швидке форматування. С) Встановити ПЗ R- Studio, яке розпізнає файли. Обов’язкова перевірка відновлених файлів засобами YARA 3) Запустити bootrec /RebuildBcd bootrec /fixMbr bootrec /fixboot 17 Підготовка чистих ГО, філіях – інсталяція нових Windows, та всіх оновлень безпеки з Бази еталонного ПЗ.
  • 4. 18 Копіювання на ці ПК відновлених та перевірених файлів та встановлення АРМів 19 Перевстановлення серверів для критичних систем в ГО та філіях (встановлення Windows та security updates) 20 Відновлення втрачених ID та сертифікатів з резервної копії 21 Запуск чистого домен контролера Варіатни – 1) встановлення нового 2) підключення до розгорнутого в Хмарі Чистий домен контролер має бути в безпечному мережевому сегменті 22 Переведення вичищених або перевстановлених серверів та ПК до чистого мережевого сегменту та підключення їх до чистого контролеру домену 23 Розгортання криміналістичної лабораторії на базі безкоштовних утіліт для вивчення зразків злочинного коду на написання правил YARA 24 Проведення розслідування та встановлення timeline приникнення 25 Постійний запуск засобів YARA, виявлення уражених сисием, блокування цих систем, дослідження злочиннонго коду та створення нових правил YARA