תקיפות רנסום על מכשירי NAS

התקני NAS משמשים בצורה רחבה על ידי אנשים פרטיים וחברות כאחסון לכמויות גדולות של מידע שניתן לגשת אליו דרך רשת. כמו כן, השימוש ב-NAS כאחסון לגיבויים הוא נוח מאוד וברבים מקרים, מכשירי NAS מחוברים לאינטרנט. זו הסיבה שמכשירי NAS הם יעדים נפוצים לפעילות פלישה של פושעי סייבר. גרסאות מסוימות של תוכנות פיצוץ הורקניות פועלות באופן מיוחד על מנת לגרום נזק ל-NAS.

עם זאת, קבצים שמאוחסנים על NAS יכולים להיות מוצפנים ומוכתמים על ידי כל תוכנה הורקנית אם מחשב ברשת הוא נגוע ויש לו גישה ל-NAS. זה עשוי להפתיע את המשתמשים רבים, אשר מאמינים ש-NAS הוא אמין וחסין כברירת מחדל. פוסט הבלוג הזה מסביר איך ניתן להגן על NAS מפני פעילות הורקנית. הסט של האמצעים האבטחתיים כולל אמצעים כלליים נגד הורקנים, בנוסף לאמצעים מיוחדים עבור NAS.

שנה את פרטי הכניסה ב-NAS

יוצרי הורקני הם מודעים מאוד לשמות המשתמש והסיסמה ברירת המחדל במכשירי NAS השונים. מנהל או admin הם השמות הנפוצים ביותר לחשבונות המנהל. אם שם המשתמש והסיסמה לא השתנו במכשיר, התוקפים יכולים לקבל גישה בקלות ל-NAS. כאשר משתמשים מתקינים את הסיסמה שלהם, התוקפים יכולים להשתמש בכלים אוטומטיים לביצוע תקיפות כוח מרובה ובמילון לנחש את הסיסמה ולקבל גישה מלאה ל-NAS.

ברוב המקרים, אין באפשרותך למחוק חשבון מנהל מובנה במכשיר NAS. הדבר הטוב ביותר לעשות הוא ליצור חשבון משתמש חדש ב-NAS שלך ולהגדיר שם משתמש וסיסמה חזקים שקשה לנחש. לאחר מכן, הוסף את כל ההרשאות הניהוליות עבור חשבון זה (כל ההרשאות שזמינות עבור חשבון המנהל המוגדר כברירת מחדל). כאשר תסיים, השבת את חשבון המנהל המוגדר כברירת מחדל ב-NAS שלך.

ניתן ליצור חשבונות עבור משתמשים המגישים נתונים משותפים ישירות ב-NAS, או ניתן להצטרף את ה-NAS שלך לדומיין של Active Directory ולהשתמש בחשבונות משתמש של Active Directory כדי לשתף תיקיות ולגשת אליהן.

ודא שאתה משתמש בסיסמאות חזקות עבור משתמשים המגישים נתונים משותפים. סיסמה חזקה מכילה לפחות 8 תווים כולל אותיות גדולות, אותיות קטנות, ספרות ותווים מיוחדים (כמו %, $ & #).

נתונים ב-NAS עשויים להפוך למוצפנים על ידי רנסומואר אם משתמש יש לו גישת כתיבה ממחשב מדוחף עם תוכנה זדונית לתיקייה משותפת ב-NAS. הנתונים הנגישים ב-NAS יכולים גם להיות מוצפנים על ידי רנסומואר.

A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS  if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.

עוד פרקטיקה טובה היא להגדיר רמות גישה שונות לקטגוריות שונות של משתמשים. משתמשים שדורשים גישה לקריאה בלבד לא צריכים לקבל הרשאות כתיבה כדי לחזק את האבטחה.

הגדרת חומת אש

אם ה-NAS שלך חייב להיגש לרשתות חיצוניות או לאינטרנט, הגדר את החומת האש על השער שלך בצורה נכונה כדי לאפשר גישה רק מכתובות IP מהימנות. בכך אתה מונע מתוקפים מלסרוק ולזהות את התקן ה-NAS שלך על פני האינטרנט. האפשרות הטובה ביותר היא למקם את ה-NAS שלך מאחורי חומת אש NAT.

ישנם שני גישות לאפשר גישה למשתמשים מחוץ לרשת שלך: הפניה של פורטים ורשת פרטית וירטואלית (VPN). אם אתה משתמש בהפנית פורטים כדי לגשת ל-NAS שלך מרשתות חיצוניות, השתמש במספרי פורט (פרוטוקולים לא סטנדרטיים) מותאמים אישית לגישה לנתונים. לדוגמה, השתמש בפורט TCP 8122 במקום 22. תוקפים בדרך כלל סורקים פורטים סטנדרטיים כדי לזהות פורטים פתוחים ומתחילים התקפות ברוט-פורס/מילון על מנת לפרוץ חשבונות ולקבל גישה ל-NAS. אך סורקים שסורקים את כל הפורטים עשויים גם להשתמש כדי למצוא פורטים פתוחים.

אפשר גישה ל-NAS שלך על ידי פתיחת רק את הפורטים הנחוצים במקום כל הפורטים. לדוגמה, אם אתה משתמש ב-SMB על מנת להעביר קבצים ברשת מקומית וב-SFTP על מנת להעביר קבצים ברשת חיצונית, השבת שירותים לא בשימוש ופרוטוקולים לא בשימוש אחרים. בחר בשימוש בגרסה העדכנית ביותר של פרוטוקול SMB (CIFS) ברשתות מקומיות עקב הרמה הגבוהה של אבטחה.

כדאי גם להשבית קישוריות מרחוק. ב-NAS של Synology, השבת את התכונה של Quick Connect המיועדת להתחבר ל-NAS מכל כתובת IP WAN מבלי לקבוע הפניה של פורטים. השבתת התכונה הזו מפחיתה את מספר הדרכים להתחבר ל-NAS, ובכך מפחיתה את הסיכוי שה-NAS ייחדש והנתונים ייהיו מוצפנים באמצעות רנסום.

הגן על הרשת שלך, המחשבים והמכשירים האחרים המחוברים לרשת. אם אתה משתמש ב-NAS שלך רק לאחסון גיבויים באתר, השבת את החיבורים ל-NAS שלך מרשתות חיצוניות. אם יש צורך, תוכל להפעיל חיבורים מכתובות IP של שרתים עליהם מתבצע גיבוי נתונים באופן קבוע.

עדכון קושחה

מכשירי NAS מגיעים עם קושחה או מערכת הפעלה מיוחדת שמותאמת לעבודה על NAS. תוכנות פודנס אפשרות לנצל פגיעות אבטחה בתוכנה כדי להדביק במכשיר ולהצפין קבצים. מערכות ההפעלה המותקנות על מכשירי NAS אינן יוצאות מן הכלל. יש לעדכן קושחת NAS (מערכות ההפעלה) ויישומים באופן תדיר כדי להתקין את תיקוני האבטחה האחרונים המתקנים פגיעות במערכות ההפעלה שנמצאו בNAS. התקנת עדכוני אבטחה מפחיתה את הסיכון להתקפות פודנס על מכשירי NAS. עדכונים אוטומטיים עשויים להיות שימושיים במקרה זה.

הערה: התקפות פודנס אחרונות שכללו את פודנס eCh0raix השתמשו ב"פריצת כוח" ובפגיעות בתוכנה כדי להכווין מכשירי QNAP NAS שלא עברו תיקון. משתמשים שהשתמשו בפרטי הכניסה החלשים ובתוכנה לא מעודכנת הותקפו על ידי eCh0raix. התקפות פודנס האחרונות שמתמקדות במכשירי NAS כוללות גם את AgeLocker ו-QSnatch.

הגדרת הגדרות אבטחה

רבים מהמכשירים NAS מכילים הגדרות אבטחה מובנות ששימושיות להגנה מפני פשע דיגיטלי. האפשרות לחסום באופן אוטומטי משמשת למניעת התקפות כוח מכניסה על מנת לקבל גישה ל-NAS. יש להגדיר את תוכנת ה-NAS כך שתחסום כתובות IP מהן נרשמו מספר רב של ניסיונות כניסה. יש לאפשר רישומים על מנת לזהות ניסיונות כניסה נכשלים. הגדרת הגנת החשבון מאפשרת לחסום את האפשרות לכניסה לזמן המתאים לאחר X ניסיונות כניסה נכשלו למשך XX דקות. הגנה מפני גישה לא מורשית מפחיתה את הסיכוי להתקפות פשע דיגיטלי שמטרתן נתבי NAS. כדאי להפעיל הגנה מפני התקפות DDoS אם ה-NAS שלך חשוף לרשת. אפשרות זו מגן על מכשירי NAS מהתקפות שירות דחיפות.

שימוש בחיבור מאובטח

יש להשתמש תמיד בחיבורים מוצפנים אל NAS שלך. יש לאפשר SSL לחיבורים על מנת להשתמש בפרוטוקול HTTPS במקום HTTP על מנת לגשת לממשק האינטרנט של ה-NAS. אם אתה משתף קבצים עם משתמשים חיצוניים, יש להשתמש ב-SFTP או ב-FTPS במקום FTP מאחר ו-FTP הקלאסי אינו תומך בהצפנה. כאשר אתה משתמש בפרוטוקולי רשת בלתי מוצפנים, גוף שלישי יכול ללכוד נתונים שמועברים דרך הרשת. סיסמאות מועברות כטקסט פשוט כאשר משתמשים בחיבור בלתי מאובטח ובלתי מוצפן. יש להשתמש ב-SSH ולא ב-Telnet על מנת לנהל את ה-NAS שלך בממשק שורת הפקודה.

הגנה על כל הסביבה

הגנה יעילה על מפתחי פיצויים כוללת סט מלא של צעדים לכל המכשירים המחוברים לרשתות שלך. אפילו מכשיר לא מוגן אחד עשוי לשמש כנקודת כניסה לפיצויים. עדכן קושחה בכל המכשירים, התקן תיקוני אבטחה בכל המכונות. הגדר הגנת דואר אלקטרוני באמצעות סנני אנטיספאם משום שדואר זבל והודעות פישינג הם שיטות הכניסה הפופולריות ביותר לפיצויים. הגדר מעקב כדי לזהות התקפת סייבר בפיצויים בהקדם האפשרי ולעצור הצפנת קבצים והתפשטות פיצויים.

גבה נתונים

פושעי סייבר מחפשים פגיעות חדשות ומשפרים טכניקות התקפה כדי לת

NAKIVO Backup & Replication הוא פתרון אוניברסלי להגנת נתונים שניתן להתקין על NAS ויכול לגבות את הנתונים שלך לתוך NAS ואחסון אחר כולל יצירת גיבויים לקלטות ולענן. NAKIVO Backup & Replication תומך בגיבוי של מכונות וירטואליות VMware vSphere, מכונות וירטואליות Microsoft Hyper-V, מופעי Amazon EC2, מכונות Linux, מכונות Windows, Microsoft 365 ומסדי נתונים Oracle. ניתן לחקור את התכונות והפונקציות השונות של NAKIVO Backup & Replication על ידי הורדה פשוטה של הגרסה החינמית. הגרסה החינמית מאפשרת לך להגן על 10 מעמודות עבודה ו-5 חשבונות Microsoft 365 ללא תשלום לשנה אחת!

קרא פוסטים אחרים בבלוג על רנסומוור כדי ללמוד עוד על שחזור מתקפת רנסומוור, איך נפוצים תוקפי רנסומוור וכיצד להסיר אותו.

מסקנה

עם הגברת הפופולריות של מכשירי NAS, תוקפים של רנסומוור המתקיפים את NAS גם עולים במספר, לצערנו. כדי להגן על מכשירי NAS מפני תקיפות רנסומוור, יש להחיל סט מלא של אמצעים. קבע סיסמאות חזקות, קבע חומת אש, קבע הרשאות, הגן על תוכנות במכשירי NAS ובמחשבים אחרים ברשת שלך, התקן שדרוגי אבטחה באופן תקופתי. קבע סינון דואר אלקטרוני על שרתי הדואר האלקטרוני בארגון שלך כדי למנוע ממשתמשים ליזום דואר זבל ותקיפות פישינג. אך הכי חשוב, ודא גיבוי תקופתי של הנתונים שלך כדי להבטיח את היכולת לשחזר לאחר מקרה של תקיפת רנסומוור.