Atkūrimas po išpirkos programų atakos: strategija ir technika
- Grupiniai ir individualūs užsiėmimai
- Prisitaikantis mokymosi tempas
- Tiesioginė sąveika su dėstytoju
Apie programą
Išsami informacija
Išpirkos programa šiandien yra viena dažniausių priežasčių, dėl kurių organizacijos praranda duomenis. Ne dėl to, kad nebuvo kopijų – o dėl to, kad kopijos irgi buvo užšifruotos arba atkūrimas užtruko per ilgai.
Kur dažniausiai slypi problema
Dauguma atakų pasiekia atsargines kopijas per tinklo prieigą. Jei kopijų serveris pasiekiamas iš užkrėstos darbo vietos, tikimybė, kad ir kopijos bus paveiktos, yra didelė. Kursas nagrinėja izoliuotos kopijų infrastruktūros kūrimą: air-gapped sprendimus, immutable storage konfigūraciją ir offline archyvavimą.
Taip pat aptariame reagavimo seką incidento metu: kas turi būti padaryti per pirmąsias valandas, kaip nustatyti, ar kopijos nepaveiktos, ir kaip prioritetizuoti sistemų atkūrimą.
Techninis pasiruošimas
Laboratoriniuose darbuose simuliuojame realią ataką kontroliuojamoje aplinkoje ir atliekame atkūrimo procedūras. Dirbame su Veeam SureBackup, Zerto ir kitais įrankiais, kurie leidžia patikrinti kopijų švarumą prieš atkūrimą.
Kursą parengė Viktorija Stonkutė, kibernetinio saugumo specialistė, dalyvavusi reaguojant į kelis didelius incidentus Lietuvos įmonėse.-
Kaip išpirkos programos veikia infrastruktūroje
Platinimo vektoriai, šifravimo mechanizmai, kaip atakos pasiekia kopijų serverius.
-
Izoliuota kopijų infrastruktūra
Air-gapped kopijos, immutable storage AWS ir Azure. Fizinio atskyrimo sprendimai.
-
Incidento reagavimo seka
Pirmos 4 valandos po atakos. Kas daro ką ir kokia tvarka. Komunikacija su vadovybe.
-
Kopijų švarumo tikrinimas
Kaip nustatyti, ar kopija neužkrėsta prieš atkūrimą. Veeam SureBackup ir analogai.
-
Sistemų atkūrimo prioritetai
Kaip nuspręsti, ką atkurti pirma. Verslo poveikio analizė atkūrimo kontekste.
-
Po incidento: ko išmokti
Kaip dokumentuoti incidentą, ką keisti infrastruktūroje ir kaip vertinti pasiruošimo lygį ateičiai.