_CORE
Leistungen
AI & Agentic Systems Core Information Systems Cloud & Platform Engineering Data Platform & Integration Security & Compliance QA, Testing & Observability IoT, Automation & Robotics Mobile & Digital
Branchen
Banking & Finance Insurance Public Administration Defense & Security Healthcare Energy & Utilities Telco & Media Manufacturing Logistics & E-commerce Retail & Loyalty
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

WannaCry a obrana proti ransomwaru — co jsme se naučili

15. 06. 2017 5 Min. Lesezeit CORE SYSTEMSai
WannaCry a obrana proti ransomwaru — co jsme se naučili
  1. května 2017 se WannaCry rozšířil do více než 150 zemí a zasáhl přes 200 000 počítačů. Britský zdravotnický systém NHS byl paralyzován, výrobní linky Renaultu se zastavily. My jsme měli štěstí — ale štěstí není strategie. Tady je, co jsme udělali, abychom příště nespoléhali na náhodu.

Jak WannaCry fungoval

WannaCry nebyl sofistikovaný malware. Byl efektivní díky kombinaci dvou věcí: exploitu EternalBlue (zranitelnost v SMBv1 protokolu Windows, MS17-010) a worm mechanismu, který umožnil automatické šíření po síti bez jakékoli interakce uživatele.

EternalBlue původně vyvinula NSA a byl uniknut skupinou Shadow Brokers v dubnu 2017. Microsoft vydal patch (MS17-010) už v březnu — tedy měsíc před únikem a dva měsíce před útokem. Přesto byly stovky tisíc systémů nezáplatované.

Průběh infekce byl brutálně jednoduchý: WannaCry proskenoval síť na port 445 (SMB), exploitoval zranitelnost, zašifroval soubory pomocí AES-128 a RSA-2048, a zobrazil výzvu k zaplacení 300 USD v Bitcoinu. Po třech dnech se výkupné zdvojnásobilo.

Proč se nás to (téměř) nedotklo

Měli jsme dvě výhody: většina našich serverů běží na Linuxu a interní Windows stanice měly aktuální patche. Ale „téměř” je klíčové slovo. Jeden testovací server s Windows Server 2008 R2 v izolovaném VLANu patch neměl. Naštěstí byl skutečně izolovaný — network segmentace fungovala přesně tak, jak měla.

Tento incident nás ale přinutil přehodnotit celý přístup k bezpečnosti. Spoléhali jsme na to, že „naši admini patchují včas.” To není systém, to je naděje.

Patch management — základ, který firmy ignorují

Statistika je alarmující: průměrná doba mezi vydáním critical patche a jeho aplikací v enterprise prostředí je 100–120 dnů. WannaCry ukázal, že útočníci tuto mezeru aktivně využívají.

Co jsme zavedli:

  • Automatické patchování pro workstations — WSUS s automatickým schvalováním critical a security updates. Žádné čekání na manuální review.
  • Patch window pro servery — každou středu v noci automatický deploy schválených patchů na staging, po validaci v pátek na produkci. Maximum 7 dnů od vydání.
  • Vulnerability scanning — Nessus skenuje celou síť jednou týdně. Výsledky jdou přímo do ticketovacího systému. Critical zranitelnosti mají SLA 48 hodin.
  • Inventář — víme, co v síti běží. Žádné „zapomenuté” testovací servery. Asset management v CMDB, pravidelný audit.

Network segmentace — první linie obrany

WannaCry se šířil po síti jako požár. Flat network = totální devastace. Segmentovaná síť = omezený dopad. Náš testovací server s Windows 2008 přežil právě díky segmentaci.

Základní principy, které dodržujeme:

  • VLANy podle funkce: servery, workstations, management, DMZ, IoT — každý segment v samostatném VLANu.
  • Firewall mezi segmenty: workstation nepotřebuje SMB přístup k jinému workstationu. Povolujeme jen to, co je explicitně potřeba.
  • Micro-segmentace: u kritických systémů (databáze, backup servery) přistupujeme ještě granulárněji. Přístup pouze z definovaných IP adres na definované porty.
  • SMB blokace: port 445 je zakázaný na perimetru a mezi segmenty, kde není potřeba. Interně povolujeme SMBv3 s šifrováním.

Backup strategie — poslední záchrana

Pokud ransomware projde všemi vrstvami obrany, zálohy jsou jediná naděje. Ale pozor — WannaCry a jeho následovníci aktivně hledají a šifrují i zálohy. Shadow copies? Smazané. Síťové disky? Zašifrované. NAS připojený přes SMB? Zašifrovaný.

3-2-1 pravidlo je minimum:

  • 3 kopie dat (originál + 2 zálohy)
  • 2 různá média (disk + tape / cloud)
  • 1 offline / offsite kopie (nepřipojená k síti)

My jsme přidali čtvrté pravidlo: pravidelně testujte restore. Záloha, ze které nedokážete obnovit data, je bezcenná. Každý měsíc děláme test obnovy náhodně vybraného systému. Měříme RTO (Recovery Time Objective) a porovnáváme se SLA.

# Automatický backup test - každý 1. v měsíci
0 3 1 * * /opt/scripts/backup-restore-test.sh \
  --random-system \
  --verify-checksums \
  --report-to [email protected]

Endpoint ochrana — antivirus nestačí

Tradiční signaturový antivirus WannaCry zachytil až po několika hodinách — do té doby nebyla signatura k dispozici. Proto přecházíme na EDR (Endpoint Detection and Response) řešení, která detekují podezřelé chování nezávisle na signaturách.

Co EDR dokáže, co antivirus ne:

  • Detekce hromadného šifrování souborů (behaviorální analýza)
  • Blokace komunikace s C2 servery
  • Izolace infikovaného endpointu od sítě v reálném čase
  • Forenzní data pro post-incident analýzu

Nasadili jsme CrowdStrike Falcon na všechny endpointy. Není to levné, ale jeden ransomware incident stojí řádově víc — průměrný cost of breach v roce 2017 je podle Ponemon Institute 3.62 milionu USD.

Incident response plán

Před WannaCry jsme měli „plán” — tři odstavce v interní wiki, které nikdo nečetl. Teď máme skutečný runbook:

  1. Detekce: alert z EDR, SIEM, nebo uživatelský report. Eskalace do 15 minut.
  2. Containment: izolace postiženého segmentu. Network team má pravomoc odpojit VLAN bez schválení managementu.
  3. Analýza: identifikace vektoru útoku, rozsahu kompromitace, typu malwaru.
  4. Eradikace: odstranění malwaru, záplatování zranitelnosti, reset kompromitovaných credentials.
  5. Recovery: obnova ze záloh, verifikace integrity dat, postupné zapínání služeb.
  6. Lessons learned: post-mortem do 5 pracovních dnů. Co selhalo, co fungovalo, co změníme.

Klíčové: neplaťte výkupné. Neexistuje garance, že dostanete klíč. Financujete kriminální aktivitu. A stanete se známým jako „firma, která platí” — a budete cílem znovu.

Lidský faktor

WannaCry se šířil automaticky, ale většina ransomwaru přichází přes phishing. Zaměstnanec otevře přílohu, klikne na link, a je to. Proto děláme pravidelné phishing simulace — jednou za čtvrtletí pošleme testovací phishing email a měříme, kolik lidí klikne.

Po prvním testu kliklo 34 % zaměstnanců. Po roce školení a pravidelných simulací jsme na 8 %. Cíl je pod 5 %. Bezpečnostní awareness není jednorázové školení — je to kontinuální proces.

Ransomware není otázka „jestli”, ale „kdy”

WannaCry byl budíček. Pro nás i pro celý průmysl. Patchujte, segmentujte, zálohujte, testujte obnovu, školte lidi. Žádná z těchto věcí není nová nebo překvapivá. Ale WannaCry ukázal, že většina firem je nedělá. Nebuďte většina.

securityransomwarewannacryincident response
Teilen:

CORE SYSTEMS

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

Forensic Analysis základy

Jak provádět digitální forenzní analýzu. Evidence, memory dump, disk image.

Incident Response Plan — jak reagovat na bezpečnostní incident

Postup při bezpečnostním incidentu. Preparation, detection, containment, recovery.

Integrace Java aplikaci s Active Directory

Autentizace a autorizace uzivatelu v Java EE pres LDAP/Active Directory. JNDI, Spring Security.