Czy przed wirusami szyfrującymi dane, wystarczy zabezpieczyć antywirusem kluczowe komputery w sieci? Microsoft Defender wystarczy?

Ataki wirusów szyfrujących dane (ransomware), wyłudzające okup za możliwość odzyskania danych - często potencjalną, pokazują, że podejście do zabezpieczeń antywirusowych może być zbyt powierzchowne. Nie raz słyszę, że: przecież mam antywirusa na komputerze na którym robię przelewy, a do tego część osób dodaje, że wbudowany w system Windows, Microsoft Defender jest niezły w testach, więc po co przepłacać?

Przeniknięcie wirusa z poziomu drukarki sieciowej należy do rzadkości, choć jest możliwe. Zainfekowany smartfon podłączony do WiFi sieci lokalnej, to już bardziej prawdopodobne źródło problemu, choć nadal nie tak częste.
Najczęściej jednak ryzyko podnosi stosowanie zabezpieczeń antywirusowych tylko na wybranych komputerach i pomijanie ich na serwerach. Przykładowo taki serwer plików (ang. NAS - Network Attached Storage), nie posiada zazwyczaj programu antywirusowego działającego w czasie rzeczywistym.
Jeśli na serwerze z systemem MS Windows antywirus jest, to często nikt nie monitoruje jego stanu, więc nie wie czy działa, czy aktualizują się bazy szczepionek, czy nie zawiesił się albo wykrył zagrożenie i oczekuje na decyzje administratora dotyczącą np. restartu w celu usunięcia zagrożenia. Nie mniej rzadkie, jest instalowanie mało skutecznych programów antywirusowych tudzież brak ich właściwej konfiguracji, co wydawać by się mogło śmieszne, dopóki samemu nie zobaczy się faktów na własne oczy.

Celem ataku poza plikami na urządzeniu zainfekowanym, są zasoby udostępnione w sieci z innych komputerów, serwerów czy urządzeń, a w skrajnych przypadkach, owe zasoby nawet nie muszą być udostępnione świadomie. Wirus też potrafi sobie odblokować dostęp lub znaleźć ukryty zasób.
O ile możemy w większości przypadków liczyć na to, że program antywirusowy wykryje sygnaturę wirusa gdy ten odpali złośliwy kod w lokalnym systemie, o tyle jeżeli zostanie uruchomiony z urządzenia słabiej zabezpieczonego i wykona operację np. na dysku udostępnionym w sieci, nie zostanie wykryty jako zagrożenie. Działanie takiego wirusa szyfrującego przypomina bowiem użycie programu kompresującego jak ZIP czy RAR.

Zatem odpowiadając na pierwszą część postawionego w tytule pytania: nie wystarczy zabezpieczyć kluczowe komputery w sieci antywirusem, przed wirusami szyfrującymi dane.
Powinniśmy zabezpieczyć wszystkie możliwe drogi ataku, w równym stopniu.
Owszem, istnieją sieci wyizolowane, które nazywają się intranet, jak np. w bankach czy urzędach, gdzie komunikacja z Internetem jest całkowicie odcięta lub ewentualnie możliwa tylko w określonym zakresie np. do celów IT. Oczywiście użyć pendrive'a też się nie da.
Są też sieci z restrykcjami, gdzie filtrowanie zagrożeń z Internetu następuje już na wejściu, na przykład z pomocą bram UTM (ang. Unified Threat Management), na których poza funkcjami zapory sieciowej, często instalowane jest specjalistyczne oprogramowanie antywirusowe, a administrator może blokować ruch wg określonych kryteriów, zezwalając na wejście tylko na konkretne adresy. Takie rozwiązania często stosują korporacje, choć to nie znaczy, że rezygnują całkowicie z ochrony na indywidualnych stanowiskach czy tym bardziej serwerach.

W każdym przypadku gdzie mamy serwer (pocztowy, plików, bazodanowy, itd.), poza dobrym zabezpieczeniem antywirusowym powinien być on monitorowany i nie raz na miesiąc, tylko całodobowo, a odczyt stanu powinien następować przynajmniej każdego dnia, a najlepiej na bieżąco za sprawą powiadomienia mailem. Takie monitorowanie może Państwu zapewnić umowa na obsługę informatyczną, którą oferujemy nie tylko we Wrocławiu. Na marginesie, monitorowanie serwera to nie jest jakiś unijny standard, tymczasem często klienci płaca za umowy serwisowe gdzie w ramach usługi takiej opcji nie dostali lub jest ona określona dość ogólnikowo.

Poza programem antywirusowym, ważnym jest też zadbanie o zaktualizowany system operacyjny i aplikacje, jak choćby przeglądarka internetowa czy sam program antywirusowy oraz regularne eliminowanie luk na urządzeniach sieciowych (np. router czy drukarka). Antywirus często "odnawiany" jest jedynie przez wpisanie corocznie nowego kodu albo nawet tylko kupienie (a nie każdy antywirus sam się tym sposobem "odnowi"). Zdarza się to naprawdę często. Widuję też bardzo stare i wolne komputery lub systemy w stanie agonalnym, nierzadko jeszcze na gwarancji, na których włączenie, użytkownik czeka za każdym razem 15 minut, a sprzedawca uważa, że ten typ tak ma. Takie systemu mogą przepuścić wirusa, gdyż brakuje im zasobów do poprawnej pracy modułów ochrony. Argumentem jest, że "to tylko maszyna do pisania i wystawiania faktur". Niestety nie jest to racjonalna optymalizacja kosztów, równa temu co kupienie pracownikowi przewodowej myszki, bo tańsza.

Przejdźmy zatem do drugiej części pytania: czy w systemach Microsoftu, warto używać dedykowanego programu antywirusowego czy pozostać przy wbudowanym w system MS Windows Defenderze?
W Microsoft Defender, na plus należy zaliczyć jego zintegrowanie z systemem oraz fakt, że jest to gratisowy dodatek. Jednak, posiada on funkcjonalności poniżej podstawowej, względem większości dedykowanych rozwiązań antywirusowych. Przykładowo: nie ma modułu ochrony bankowości internetowej, choć pewne protezy są możliwe do zastosowania, to nie to samo i nie tak wygodne co analogiczne funkcjonalności oferowane w produktach typowo antywirusowych (choć nie podstawowych i bezpłatnych zazwyczaj). Nie ma interaktywnego wykrywania ataków sieciowych jak pakiety antywirusowe z wbudowanym firewall'em. Prawdziwa porażka dotyczy wersji serwerowych, które dopiero od paru lat mają podobny interfejs graficzny do wersji stanowiskowych (o ile tę protezę w ogóle można tak nazwać), ale tam też domyślna strategia ochrony nie błyszczy przykładem.
W tytułowym temacie jednak, Microsoft ewidentnie "strzela sobie w kolano", ponieważ by ochrona przeciw wirusom szyfrującym działała, trzeba ją w Microsoft Defenderze skonfigurować... Dlaczego? Otóż niektóre rozwiązania od Microsoftu bywają na tyle prymitywne, że w chodzić mogą w konflikty z aplikacjami, które nie chcą nam zrobić szkody.
Ciekaw jestem, ilu z tych, co twierdzi, że świadomie pozostało z tym produktem o tym wie przynajmniej o konieczności konfiguracji. I nie - to nie jedyna opcja, która nie jest domyślnie włączona w Defenderze.
Jeżeli mowa o skuteczności, moja praktyka pokazuje, że jest w miarę dobrze w ostatnich latach dopiero i tylko wtedy, gdy mówimy o wspieranych wersjach systemu (czyli otrzymujących łaty bezpieczeństwa), zakładając jednak, że nie będziemy mieć pecha. Dlatego osobiście bym nie zaryzykował, chyba, że mówimy o stanowiskach w sieciach typu intranet lub dość mocno restrykcyjnych, o jakich pisałem wyżej.
W przypadku starszych, niewspieranych systemów nawet nie ma co się zastanawiać, bo taki wbudowany nie spełnia swojej roli, a dodatkowo doinstalowany, nawet aktualizowany bazami szczepionek, chronić będzie, choć w nieco ograniczonym stopniu. To jak założenie antywłamaniowych drzwi i zostawienie uchylonych okien, w parterowym domu.

Czy spełnienie powyższych zaleceń wystarczy by być zabezpieczonym przed wirusem?
Niestety nie, choć znacznie obniża zagrożenie.
Wirusy są stale modyfikowane i mimo dokładania starań przez producentów oprogramowania antywirusowego, systemów operacyjnych a także urządzeń, szczepionka czy łata może zostać wydana za późno, czasem wręcz o kilka godzin.
Jedynym rozwiązaniem dającym obecnie prawie 100% skuteczność, jest wykonywanie kopii zapasowych (backupów), jednak pod warunkiem, że jest wdrożone tak, by podatność ataku na zasób było jak najmniejsze oraz by było to rozwiązanie stale monitorowane.
Większość infrastruktur tego typu z jakimi się spotykam nie spełnia jednego lub obu warunków.

Zainteresowanych audytem zabezpieczeń informatycznych zastosowanych w Państwa firmach oraz doborem i wdrożeniem optymalnych rozwiązań, zapraszam do kontaktu.