_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
Pojďme to probrat

WannaCry a obrana proti ransomwaru — co jsme se naučili

14. 06. 2017 5 min čtení CORE SYSTEMSai
  1. května 2017 se WannaCry rozšířil do více než 150 zemí a zasáhl přes 200 000 počítačů. Britský zdravotnický systém NHS byl paralyzován, výrobní linky Renaultu se zastavily. My jsme měli štěstí — ale štěstí není strategie. Tady je, co jsme udělali, abychom příště nespoléhali na náhodu.

Jak WannaCry fungoval

WannaCry nebyl sofistikovaný malware. Byl efektivní díky kombinaci dvou věcí: exploitu EternalBlue (zranitelnost v SMBv1 protokolu Windows, MS17-010) a worm mechanismu, který umožnil automatické šíření po síti bez jakékoli interakce uživatele.

EternalBlue původně vyvinula NSA a byl uniknut skupinou Shadow Brokers v dubnu 2017. Microsoft vydal patch (MS17-010) už v březnu — tedy měsíc před únikem a dva měsíce před útokem. Přesto byly stovky tisíc systémů nezáplatované.

Průběh infekce byl brutálně jednoduchý: WannaCry proskenoval síť na port 445 (SMB), exploitoval zranitelnost, zašifroval soubory pomocí AES-128 a RSA-2048, a zobrazil výzvu k zaplacení 300 USD v Bitcoinu. Po třech dnech se výkupné zdvojnásobilo.

Proč se nás to (téměř) nedotklo

Měli jsme dvě výhody: většina našich serverů běží na Linuxu a interní Windows stanice měly aktuální patche. Ale „téměř” je klíčové slovo. Jeden testovací server s Windows Server 2008 R2 v izolovaném VLANu patch neměl. Naštěstí byl skutečně izolovaný — network segmentace fungovala přesně tak, jak měla.

Tento incident nás ale přinutil přehodnotit celý přístup k bezpečnosti. Spoléhali jsme na to, že „naši admini patchují včas.” To není systém, to je naděje.

Patch management — základ, který firmy ignorují

Statistika je alarmující: průměrná doba mezi vydáním critical patche a jeho aplikací v enterprise prostředí je 100–120 dnů. WannaCry ukázal, že útočníci tuto mezeru aktivně využívají.

Co jsme zavedli:

  • Automatické patchování pro workstations — WSUS s automatickým schvalováním critical a security updates. Žádné čekání na manuální review.
  • Patch window pro servery — každou středu v noci automatický deploy schválených patchů na staging, po validaci v pátek na produkci. Maximum 7 dnů od vydání.
  • Vulnerability scanning — Nessus skenuje celou síť jednou týdně. Výsledky jdou přímo do ticketovacího systému. Critical zranitelnosti mají SLA 48 hodin.
  • Inventář — víme, co v síti běží. Žádné „zapomenuté” testovací servery. Asset management v CMDB, pravidelný audit.

Network segmentace — první linie obrany

WannaCry se šířil po síti jako požár. Flat network = totální devastace. Segmentovaná síť = omezený dopad. Náš testovací server s Windows 2008 přežil právě díky segmentaci.

Základní principy, které dodržujeme:

  • VLANy podle funkce: servery, workstations, management, DMZ, IoT — každý segment v samostatném VLANu.
  • Firewall mezi segmenty: workstation nepotřebuje SMB přístup k jinému workstationu. Povolujeme jen to, co je explicitně potřeba.
  • Micro-segmentace: u kritických systémů (databáze, backup servery) přistupujeme ještě granulárněji. Přístup pouze z definovaných IP adres na definované porty.
  • SMB blokace: port 445 je zakázaný na perimetru a mezi segmenty, kde není potřeba. Interně povolujeme SMBv3 s šifrováním.

Backup strategie — poslední záchrana

Pokud ransomware projde všemi vrstvami obrany, zálohy jsou jediná naděje. Ale pozor — WannaCry a jeho následovníci aktivně hledají a šifrují i zálohy. Shadow copies? Smazané. Síťové disky? Zašifrované. NAS připojený přes SMB? Zašifrovaný.

3-2-1 pravidlo je minimum:

  • 3 kopie dat (originál + 2 zálohy)
  • 2 různá média (disk + tape / cloud)
  • 1 offline / offsite kopie (nepřipojená k síti)

My jsme přidali čtvrté pravidlo: pravidelně testujte restore. Záloha, ze které nedokážete obnovit data, je bezcenná. Každý měsíc děláme test obnovy náhodně vybraného systému. Měříme RTO (Recovery Time Objective) a porovnáváme se SLA.

# Automatický backup test - každý 1. v měsíci
0 3 1 * * /opt/scripts/backup-restore-test.sh \
  --random-system \
  --verify-checksums \
  --report-to [email protected]

Endpoint ochrana — antivirus nestačí

Tradiční signaturový antivirus WannaCry zachytil až po několika hodinách — do té doby nebyla signatura k dispozici. Proto přecházíme na EDR (Endpoint Detection and Response) řešení, která detekují podezřelé chování nezávisle na signaturách.

Co EDR dokáže, co antivirus ne:

  • Detekce hromadného šifrování souborů (behaviorální analýza)
  • Blokace komunikace s C2 servery
  • Izolace infikovaného endpointu od sítě v reálném čase
  • Forenzní data pro post-incident analýzu

Nasadili jsme CrowdStrike Falcon na všechny endpointy. Není to levné, ale jeden ransomware incident stojí řádově víc — průměrný cost of breach v roce 2017 je podle Ponemon Institute 3.62 milionu USD.

Incident response plán

Před WannaCry jsme měli „plán” — tři odstavce v interní wiki, které nikdo nečetl. Teď máme skutečný runbook:

  1. Detekce: alert z EDR, SIEM, nebo uživatelský report. Eskalace do 15 minut.
  2. Containment: izolace postiženého segmentu. Network team má pravomoc odpojit VLAN bez schválení managementu.
  3. Analýza: identifikace vektoru útoku, rozsahu kompromitace, typu malwaru.
  4. Eradikace: odstranění malwaru, záplatování zranitelnosti, reset kompromitovaných credentials.
  5. Recovery: obnova ze záloh, verifikace integrity dat, postupné zapínání služeb.
  6. Lessons learned: post-mortem do 5 pracovních dnů. Co selhalo, co fungovalo, co změníme.

Klíčové: neplaťte výkupné. Neexistuje garance, že dostanete klíč. Financujete kriminální aktivitu. A stanete se známým jako „firma, která platí” — a budete cílem znovu.

Lidský faktor

WannaCry se šířil automaticky, ale většina ransomwaru přichází přes phishing. Zaměstnanec otevře přílohu, klikne na link, a je to. Proto děláme pravidelné phishing simulace — jednou za čtvrtletí pošleme testovací phishing email a měříme, kolik lidí klikne.

Po prvním testu kliklo 34 % zaměstnanců. Po roce školení a pravidelných simulací jsme na 8 %. Cíl je pod 5 %. Bezpečnostní awareness není jednorázové školení — je to kontinuální proces.

Ransomware není otázka „jestli”, ale „kdy”

WannaCry byl budíček. Pro nás i pro celý průmysl. Patchujte, segmentujte, zálohujte, testujte obnovu, školte lidi. Žádná z těchto věcí není nová nebo překvapivá. Ale WannaCry ukázal, že většina firem je nedělá. Nebuďte většina.

securityransomwarewannacryincident response
Sdílet:

CORE SYSTEMS

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Infrastructure as Code — proč Terraform změnil... Všechny články CI/CD pipeline pro Kubernetes s Jenkins

Související články

Forensic Analysis základy

Jak provádět digitální forenzní analýzu. Evidence, memory dump, disk image.

Incident Response Plan — jak reagovat na bezpečnostní incident

Postup při bezpečnostním incidentu. Preparation, detection, containment, recovery.

Integrace Java aplikaci s Active Directory

Autentizace a autorizace uzivatelu v Java EE pres LDAP/Active Directory. JNDI, Spring Security.