Устройства NAS широко используются как отдельными лицами, так и компаниями для хранения больших объемов данных, к которым можно получить доступ через сеть. Также очень удобно использовать NAS в качестве хранилища для резервных копий, и во многих случаях устройства NAS подключены к интернету. Именно поэтому устройства NAS часто становятся объектами внимания киберпреступников. Некоторые версии программ-вымогателей специально разработаны для атаки на NAS.
Однако файлы, хранящиеся на NAS, могут быть зашифрованы и повреждены любым программным обеспечением-вымогателем, если компьютер в сети заражен и имеет доступ к NAS. Для многих пользователей это может стать сюрпризом, поскольку они считают, что NAS надежно и по умолчанию невосприимчиво к атакам. В этом блог-посте объясняется, как можно защитить NAS от атак программ-вымогателей. Набор мер безопасности включает общие меры против программ-вымогателей, а также специфические для NAS меры.
Изменить учетные данные на NAS
Создатели программ-вымогателей отлично осведомлены о стандартных именах пользователей и паролях администратора на различных устройствах NAS. Администратор или admin – самые популярные имена пользователей для учетных записей администратора. Если имя пользователя и пароль не изменены на устройстве, злоумышленники могут легко получить доступ к NAS. Когда администраторы устанавливают собственные пароли, злоумышленники могут использовать автоматизированные инструменты для проведения атак методом перебора паролей и словарей, чтобы угадать пароль и получить полный доступ к NAS.
В большинстве случаев нельзя удалить встроенную учетную запись администратора на устройстве NAS. Лучшее, что можно сделать, это создать новую учетную запись пользователя на вашем NAS и установить надежное имя пользователя и пароль, которые сложно угадать. Затем добавьте все административные разрешения для этой учетной записи (все разрешения, доступные для учетной записи администратора по умолчанию). После этого отключите учетную запись администратора по умолчанию на вашем NAS.
Вы можете создавать учетные записи для пользователей, которые имеют прямой доступ к общим данным на NAS, или присоединить ваш NAS к домену Active Directory и использовать учетные записи пользователей Active Directory для обмена папками и доступа к ним.
Убедитесь, что для пользователей, которые имеют доступ к общим данным, используются надежные пароли. Надежный пароль должен содержать как минимум 8 символов, включая прописные и строчные буквы, цифры и специальные символы (например, %, $, & #).
Данные на NAS могут быть зашифрованы шифровальщиками в случае, если у пользователя есть права записи с зараженного компьютера в общую папку на NAS. Доступные данные на NAS также могут быть зашифрованы шифровальщиками.
A good option to avoid this kind of scenario is to use a separate user account, that is, not the same account that is used to log into Windows, without saving passwords on the Windows machine. In this case, user will have to enter their credentials to access a shared folder after each Windows login. It is more difficult to access and encrypt data on a shared folder located on a NAS if the user has not entered their credentials to open a shared folder. Ransomware protection is further improved if the password is strong because some ransomware can use small dictionaries with popular passwords to guess a password and gain access.
Еще одной хорошей практикой является установка различных уровней доступа для различных категорий пользователей. Пользователи, которым требуется только чтение, не должны иметь разрешения на запись для дополнительного повышения безопасности.
Настройте брандмауэр
Если ваш NAS должен получать доступ из внешних сетей или из интернета, правильно настройте брандмауэр на вашем шлюзе, чтобы разрешить доступ только с доверенных IP-адресов. Таким образом вы предотвратите сканирование и обнаружение вашего устройства NAS из интернета. Лучшим вариантом является размещение вашего NAS за NAT-брандмауэром.
Есть два подхода к предоставлению доступа пользователям вне вашей сети: перенаправление портов и виртуальная частная сеть (VPN). Если вы используете перенаправление портов для доступа к вашему NAS из внешних сетей, используйте настраиваемые (нестандартные) номера портов для протоколов, используемых для доступа к данным. Например, используйте порт TCP 8122 вместо 22. Злоумышленники обычно сканируют стандартные порты для обнаружения открытых портов и начинают атаки методом подбора паролей/словарных атак для взлома учетных записей и получения доступа к NAS. Однако также могут использоваться сканеры, сканирующие все порты, для поиска открытых портов.
Разрешайте доступ к вашему NAS, открывая только необходимые порты, а не все порты. Например, если вы используете SMB для передачи файлов по LAN и SFTP для передачи файлов по WAN, отключите другие неиспользуемые службы и протоколы файлов. Предпочтительно использовать последнюю версию протокола SMB (CIFS) в локальных сетях из-за более высокого уровня безопасности.
Также следует отключить удаленную связь. На Synology NAS отключите функцию Быстрого подключения, предназначенную для подключения к NAS с любого IP-адреса WAN без настройки перенаправления портов. Отключение этой функции уменьшает количество способов подключения к NAS, тем самым снижая вероятность взлома NAS и шифрования данных с помощью вымогательского вредоносного ПО.
Защитите вашу сеть, компьютеры и другие устройства, подключенные к сети. Если вы используете свой NAS только для хранения резервных копий на своей территории, отключите соединения с вашим NAS из внешних сетей. Если на вашем NAS установлен встроенный брандмауэр, вы можете разрешить соединения только с IP-адресов серверов, на которых регулярно выполняется резервное копирование данных.
Обновление прошивки
Устройства NAS имеют прошивку или специальную операционную систему, предназначенную для работы на устройствах NAS. Вымогатели могут использовать уязвимости безопасности программного обеспечения для заражения устройства и шифрования файлов. И установленные на устройствах NAS операционные системы не являются исключением. Регулярно обновляйте прошивку NAS (операционные системы) и приложения, чтобы установить последние обновления безопасности, исправляющие обнаруженные уязвимости программного обеспечения NAS. Установка обновлений безопасности снижает риск атак вымогателей на устройства NAS. В этом случае могут быть полезны автоматические обновления.
Примечание: Недавние атаки вымогателей, включая вымогателя eCh0raix, использовали грубую силу и уязвимости программного обеспечения для целенаправленной атаки на устройства NAS QNAP, не обновленные патчами. Пользователи, использующие слабые учетные данные и не обновленное программное обеспечение, подверглись атаке eCh0raix. Последние атаки вымогателей, нацеленные на устройства NAS, также включали AgeLocker и QSnatch.
Настройка параметров безопасности
Многие сетевые хранилища (NAS) имеют встроенные настройки безопасности, которые полезны для защиты от вымогательских программ. Опция автоматической блокировки используется для предотвращения атак перебора паролей для доступа к NAS. Настройте программное обеспечение NAS для блокировки IP-адресов, с которых обнаружено слишком много попыток входа. Включите ведение журнала для обнаружения неудачных попыток входа. Настройка защиты учетной записи позволяет заблокировать опцию входа на определенное время после X неудачных попыток входа в течение XX минут. Защита от несанкционированного доступа снижает вероятность атак вымогательских программ на сетевые хранилища (NAS). Включите защиту от DDoS-атак, если ваше NAS подвержено интернету. Эта опция защищает устройства NAS от распределенных атак отказа в обслуживании, которые направлены на нарушение онлайн-сервисов.
Используйте защищенное соединение
Всегда используйте зашифрованные соединения с вашим NAS. Включите SSL для соединений, чтобы использовать протокол HTTPS вместо HTTP для доступа к веб-интерфейсу NAS. Если вы обмениваетесь файлами с внешними пользователями, используйте SFTP или FTPS вместо FTP, поскольку классический FTP не поддерживает шифрование. Когда вы используете сетевые протоколы без шифрования, третья сторона может захватывать передаваемые по сети данные. Пароли передаются в виде обычного текста при использовании незащищенного нешифрованного соединения. Используйте SSH, а не Telnet, для управления вашим NAS в интерфейсе командной строки.
Защита всей среды
Эффективная защита от вымогательского вредоносного ПО включает в себя полный комплекс мер для всех устройств, подключенных к вашим сетям. Даже одно незащищенное устройство может быть использовано в качестве точки входа для вымогательского вредоносного ПО. Обновляйте прошивку на всех устройствах, устанавливайте обновления безопасности на всех компьютерах. Настройте защиту почты с помощью антиспам-фильтров, потому что спам и фишинговые электронные письма являются наиболее популярными методами заражения вымогательским вредоносным ПО. Настройте мониторинг для обнаружения кибератаки вымогательского вредоносного ПО как можно скорее и остановите шифрование файлов и распространение вымогательского вредоносного ПО.
Резервное копирование данных
Киберпреступники ищут новые уязвимости и совершенствуют методы атаки на пользователей и шифруют их данные. Атаки вымогательским вредоносным ПО становятся более сложными. Поэтому вы должны регулярно создавать резервные копии ваших данных. Наличие резервной копии позволяет вам восстановить данные в короткие сроки в случае атаки вымогательским вредоносным ПО или других бедствий, приводящих к потере данных. Устройства NAS обычно используются в качестве мест назначения для резервного копирования, но они также могут быть целью атак вымогательского вредоносного ПО. По этой причине вы должны создавать резервные копии в соответствии с правилом резервного копирования 3-2-1. Регулярно создавайте резервные копии ваших данных и делайте несколько копий. Если ваши файлы были зашифрованы вымогательским вредоносным ПО, не платите выкуп, потому что выплата поощряет киберпреступников к запуску новых атак.
NAKIVO Backup & Replication – это универсальное решение для защиты данных, которое можно установить на NAS и сделать резервную копию данных на NAS и другие носители, включая создание резервных копий на ленты и в облако. NAKIVO Backup & Replication поддерживает резервное копирование виртуальных машин VMware vSphere, машин Microsoft Hyper-V, экземпляров Amazon EC2, машин Linux, машин Windows, Microsoft 365 и баз данных Oracle. Вы можете ознакомиться с различными функциями и возможностями NAKIVO Backup & Replication, просто скачав бесплатную версию. Бесплатная версия позволяет бесплатно защитить 10 рабочих нагрузок и 5 учетных записей Microsoft 365 на один год!
Читайте другие блог-посты о вымогательстве, чтобы узнать больше о восстановлении после атаки вымогательства, как распространяется вымогательство и как его удалить.
Вывод
С ростом популярности устройств NAS увеличивается и количество вымогательств, нацеленных на NAS, к сожалению. Для защиты устройств NAS от атак вымогательства, необходимо принять полный комплекс мер. Установите надежные пароли, настройте брандмауэр, установите разрешения, защитите программное обеспечение на NAS и на других компьютерах в вашей сети, регулярно устанавливайте обновления безопасности. Настройте фильтрацию электронной почты на почтовых серверах в вашей организации, чтобы предотвратить пользователей от спама и фишинговых электронных писем. Но, самое главное, убедитесь, что вы регулярно создаете резервные копии данных, чтобы обеспечить возможность восстановления после атаки вымогательства.
Source:
https://www.nakivo.com/blog/ransomware-attacks-on-nas-devices/