Ransomware a cloud: jak nastavit ochranu, aby vás útok nezastavil

ransomware

Ransomware je typ útoku, který se snaží zašifrovat nebo zničit data (a často i zálohy), aby útočníci donutili majitele dat zaplatit výkupné. Proto nestačí jen „mít cloud“ – důležité je, jak je cloudové úložiště nastavené a jestli umíte data rychle obnovit.

Níže je praktický návod, jak si nastavit ochranu pro cloudové úložiště MůjDisk (a obecně pro práci se soubory), aby případný incident neznamenal stopku pro provoz.

1) Zablokujte nejčastější vstupní brány: účty a přístupy

Většina ransomwarových incidentů začne kompromitovaným účtem (ukradené heslo, phishing, znovupoužité heslo) nebo vzdáleným přístupem.

Co udělat hned:

  • Zapněte vícefaktorové ověření (MFA/2FA) všude, kde je dostupné – hlavně pro e-mail, vzdálené přístupy a administrátorské účty. Jak nastavit 2FA na cloudu MůjkDisk si přečtěte v našem článku zde.
  • Oddělte administrátorské účty od běžných uživatelských (admin nepoužívejte na denní práci).
  • Zaveďte správu hesel (správce hesel + unikátní silná hesla). Pokud MFA/2FA někde nejde, zvažte delší hesla a další kompenzační opatření.

2) Omezte dopad: nejmenší potřebná oprávnění a rozumné sdílení

I když se útočník dostane do jednoho účtu, neměl by získat přístup „ke všemu“.

Doporučené nastavení:

  • Držte se principu nejmenších oprávnění: každý vidí a upravuje jen to, co opravdu potřebuje.
  • Místo sdílení „na jednotlivce“ používejte týmové složky a role (snáz se spravují, snáz se odebírají přístupy při odchodu zaměstnance).
  • Externí sdílení nastavujte opatrně: ideálně jen na nezbytnou dobu a s jasnými pravidly (např. kdo smí sdílet ven a co). Přečtěte si náš článek o sdílení zde.

3) Zálohy tak, aby je ransomware nezničil

Ransomware dnes cíleně útočí i na zálohy a dokumentaci potřebnou pro obnovu.
Nejdůležitější je mít alespoň jednu kopii záloh mimo dosah útočníka.

Základní pravidla:

  • Mějte pravidelné zálohy a hlavně testujte obnovu (alespoň kvartálně).
  • Jedna kopie záloh by měla být offline nebo jinak izolovaná (případně „neměnná/immutable“), aby ji útočník nemohl přepsat či smazat.
  • Pohlídejte si, aby zálohy nešly mazat stejným účtem, kterým se běžně pracuje.

4) Připravte si jednoduchý „incident postup“ (ušetří hodiny)

Když už se něco stane, rozhodují první kroky:

  1. Odpojit napadené zařízení od sítě (aby se šíření zastavilo).
  2. Zablokovat přístupy a resetovat hesla (hlavně podezřelé účty).
  3. Ověřit rozsah škod: co je šifrované, co je jen nedostupné.
  4. Obnova ze záloh / verzí podle priority systémů a týmů.
  5. Až pak řešit „proč“ (forenzní analýza, oprava procesu, školení).

Štítky
Sdílejte
Michal Mucha
Michal Mucha