Про вирусы шифровальщики и зашиту⁠⁠1

Навеяно постом про "панду" который прочел, но был удален.
Видел я и взлом и последствия. В компании где я шабашил. Что имею сказать:

1. Бэкап, бэкап и ещё раз бэкап. И не просто на одном из северов, а в отдельном контуре. По хорошему- на внешнем носители
   Можно, например так- у вас отдельная машинка на физ сервере. Вне домена. Со своими логинами паролями. Которая забирает файлы бэкапов. И заливает к себе на хранилище. Она сама ходит в вашу сеть под доменным логином и паролем, но вот из сети к ней в идеале должны быть подключения минимизированы ( МСЭ на том же микротик- в помощь). Можно использовать для забора данных NAS. NAS SoHo я использовал на пару работ для создание параллельного резерва в другом помещении. А то мало ли- выгорит серверная. Или зальёт водой. А когда в другом конце здания- понадёждей. Либо облака (но тут упираются в объёмы и скорость интернета- петабайты так не запишешь). А в энтерпрайзе объёмы РК за фуловые и на десятки pb выходят.
   Внешние носители- если речь о серьёзной организации- ленточная библиотека. И архив носителей в сейфе. Менее серьёзной- стример. Нет денег/МСП/бюджет- покупаете пару внешних дисков. Бэкапы критичные делаются ночью. В папку к которой есть доступ на чтение у какого то ответсвенного сотрудника. Он достаёт из ящика стала жесткий диск внешний. Подключает его. И запускает лежащий на рабочем столе bat файл который копирует данные. После чего диск отключается и убирается под ключ.
   В чем смысл? что бы даже получив права администратора предприятия нельзя было перезаписать бэкапы вместе данными.
   Когда то делали еженедельные бэкапы баз 1С на dvd. но это малый бизнес. объёмы невелики. Короче- копия в недосягаемом месте

2. Платить? не знаю. Сотрудник "конторы" с которым общался и который работает с гос сопкой сказал что в большей части случаев это бесполезно.

3. RDP и прочее.О вей. Не в том дело что в плох. Вопрос ведь как использовать и настроить
и vpn желателен. и сам rdp нынче не совсем беззащитен можно аутентификация по сертификатам настроить. На МСЭ неплохо бы белые списки адресов использовать. Port Knocking. Если никак- бан адресов при попытке брутфорса (аля fail2ban). Есть с чем работать

4. Самое сложное для меня было другое. Не технические моменты. Вот 20 год. Ковид. Уходит начальник юр отдела из за ковида в семье. Директор требует -мол обеспеч удалённую работу. А у него дома ноут с игровой виндой. дистриб такой самосборной, где VPN нормально не подключить. Куча игр стоит пираток. Белого IP статического понятно нет. Я вначале обосновывал и предупреждал, потом плюнул. Сейчас наверно бы уперся и сел служебку писать- мол невозможно безопасно подключить. Или выделяйте деньги на служебный ноут или берите риски на себя. Я за последствия отвечать не готов. Ибо тут рандом.

До какого то момента многие жили с принципом "да кому мы нужны"- сэкономим. мол как нибудь без доп затрат обойдитесь. А вот после СВО атаки очень плотно пошли. Даже на организации никак не связанных с военным делом или ВПК.