Атака шифровальщиков⁠⁠3

Не только файерволл, а плюсом web шлюз + антиспам + антивирус, это как минимум. А дальше вопрос по настройке инфраструктуры предприятия и управление правами пользователей.  и т.д., работы много.

Решение по-прежнему всего одно. Регулярные и удаленные бекапы. Потому что можно установить антивирус, файерволл, закрыть все возможные порты и запретить доступы, но, на моей лично истории была замечательная хрень, когда я работал эникеем с админискими функциями, я, выехав на очередной филиал конторы, увидел просто волшебную картину, за компьютером бухгалтерши, работающей с основной базой 1С сидел какой-то молодой пацан и что-то сосредоточено делал. На мой вопрос "мальчик а ты кто такой и зачем тут делаешь?" он ответил мол "его тетя попросила тут настроить". Тетя. Попросила. На рабочей машине с выходом в корпоративную сеть. Что-то настроить. Левого пацана. Он там уже пытался какими-то крякалками обойти админские пароли и даже загрузиться через загрузочный диск (благо я на всех машинах для филиалов первым делом паролю Биос и пломбирую корпус а то он бы и правда смог наверное).

Я тогда на эту тетку не служебную записку, а служебное эссе накатал, с литературными приемами и сложноподчиненными предложениями.

Проблема только в том, что это не поможет, потому что им всем - НОРМАЛЬНО. И начальству тоже будет НОРМАЛЬНО сидеть под админами и на любое ограничение прав отвечать лютым негативом потому что теперь, чтобы поставить какую-то свою хрень им надо звать айтишника с паролем. Сидеть на сайтиках и скачивать игрушки потому что НУ Я ТАК РАССЛАБЛЯЮСЬ МНЕ ГЕНЕРАЛЬНЫЙ РАЗРЕШИЛ и так далее. А потом сидеть и охать мол как так "наш программист" такое допустил.

Потому что, с моей точки зрения, рядом с админом а лучше чуть-ли не вместе с ним должен работать еще и безопасник. И нет, не возлагать на админа функции безопасника и надеяться на лучшее, а нанимать нормального человека или, на худой конец контору аутсорсеров. Чтобы они ходили и периодически долбили сотрудникам мозги на тему защиты ПДН и общей безопасности.

это да, на старой работе тоже пару раз виндовые сервачки по пизде шли. Вроде и закроешь, и обновления регулярные - а все равно беда.
Да и 1с вроде сейчас без больших проблем на линукс встает

дело не файерволе, по умолчанию базы скуля нельзя изменить тк скул сервер постоянно использует базы, и криптор их не сможет зашифровать, тк база используется скуль сервером. Я выше написал, как они работают, они заходят по рдп, стопают службы скуля и других БД, и тогда получают прямой доступ к базе, на после остановки скуля не занята другими приложениями, поэтому ее можно изменить/удалить.

Как могло базы завалить, как он на сервер с sql попал? Или у бухов rdp?

Не единственный.

Отличным вариантом будет прохождение тренинга по обнаружению фишинга. А так же брать админа и техсаппорта (можно кого-то одного, главное компетентного) не на аутсорсе, а на постоянную ставку, конечно с соответствующей ответственностью. Разделение уровня учётных записей в Active directory. Назначение политик безопасности с соответствующими доступами. Вариантов полно. Но у нас же все уверенные пользователи ПК в резюме. Эксель умеют Ворд умеют. А отличить О от 0 в пришедшем письме не в состоянии

Как они зашли на сервер бд я не совсем понял...

Или там у них виндовые учетки и доступ sysadmin

У меня по тяжелее сделано. Запрещены exe вообще у пользователя и админа. Только сервисная учетка может запускать. На пользовательском коммутаторе вообще все закрыто кроме нужных портов и ресурсов

А если поставить 1с на линукс с постгресом, то можно смотреть и умиляться на тщетные попытки...

Один хер все базы завафлило

так с чего должен антивирус работать если шифровальщик вирусом не является?

Ну во первых, др. Веб полнейший кал. Во вторых, нефиг хранить файлами, использовать надо SQL, на отдельной машине, пусть даже виртуальной.

А много ипешников с 1с:предприятие и 1с бухгалтерией? Отдельный ноут или десктоп под всю эту тряхомудия не такие большие деньги.
А в реале на таких компах и 1с и офис, что тот ещё рассадник вирусов. И много чего веселого