17 мая 2017

WannaCry: смотрите на всех экранах страны

Бизнес

Эпидемия шифровальщика WannaCry причинила очень, очень много неприятностей различным отраслям бизнеса. Однако наибольшую ненависть авторы этого вредоноса должны вызывать у компаний, в инфраструктуре которых работают разнообразные встраиваемые системы.

Наибольшую ненависть авторы WannaCry должны вызывать у компаний, в инфраструктуре которых работают встраиваемые системы.

Самое интересное, что чисто теоретически большинство подобных устройств вообще не должно представлять интерес для вымогателей — никто не будет платить выкуп за восстановление встраиваемой системы: на ней, как правило, нет никаких ценных данных. С высокой долей вероятности ее восстановление сводится к форматированию жесткого диска и переустановке ОС. Но WannaCry неприхотлив в выборе жертв: благодаря особенностям уязвимости, он широко распространился по локальным сетям и без разбора заразил все Windows-машины, не имевшие патча от Microsoft или адекватного защитного решения.

Пришла беда откуда не ждали

При этом нельзя сказать, что эпидемия «открыла людям глаза» на проблему слабой безопасности таких устройств. Давно известно, что встраиваемые системы защищают гораздо хуже, чем рабочие станции и серверы, или вообще никак не защищают. Однако внимание к этому факту WannaCry уж точно привлек.

Когда речь заходит о встраиваемых системах, в первую очередь на ум приходят банкоматы, POS-терминалы и разнообразные машины для продажи билетов. Многие из них действительно пострадали. Но могло быть и хуже: к счастью, там, в силу требований регуляторов и более широкой модели угроз, все-таки нередко уже используются защитные решения. Гораздо нагляднее сработало заражение других устройств — информационных табло, медицинского оборудования и даже вендинговых машин.

Владельцам встраиваемых систем ничуть не легче от того, что злоумышленники не получили никакой выгоды. Ущерб-то уже причинен, и немалый.

  • Заблокированные вендинговые машины, банкоматы или аппараты по продаже билетов — это недополученная прибыль.
  • Сообщение о заражении на публично доступном экране — это практически объявление, гласящее «У нас не все в порядке с безопасностью». Сложно даже предположить, какой ущерб оно может нанести репутации компании. Воспользуется ли ее услугами клиент в следующий раз?
  • Каждое устройство придется восстанавливать. А представьте, в какую сумму это выльется, если у вас, скажем, несколько сотен информационных табло или банкоматов? Особенно если учесть, что они могут находиться в разных местах города или даже страны, а переустанавливать ОС и настраивать защиту придется в авральном режиме. Ну а на части устройств вообще используется устаревшее ПО, переустановить которое может быть не так уж просто, если вообще возможно.

Судя по обилию троллинга в социальных сетях, объявления были замечены.

Решение проблемы

По сути, проблем здесь не одна, а две. Во-первых, до сих пор многие просто не уделяли безопасности встраиваемых систем должного внимания. Во-вторых, они зачастую работают на слабом и старом железе, слабых интернет-каналах и устаревших операционных системах, поэтому владельцы опасаются ставить на них защитные решения или физически не могут сделать это в силу их требований к ресурсам.

С первой частью проблемы, как это ни прискорбно, помог справиться как раз-таки WannaCry – теперь все говорят о защите, в том числе и встраиваемых систем. Со второй же частью можем помочь мы. Дело в том, что защищать встраиваемые системы при помощи традиционных антивирусов — действительно не оптимальное решение. Именно поэтому мы разработали специализированный продукт для широкого спектра встраиваемых систем Kaspersky Embedded Systems Security. С одной стороны, он гораздо менее требователен к ресурсам, чем стандартное защитное решение. С другой — позволяет исключить заражение системы.

В случае атаки шифровальщика (в том числе и пресловутого WannaCry) решение будет работать следующим образом:

  • Базовая технология продукта — режим Default Deny, запрет по умолчанию. По сути, она запрещает исполнение любого кода, даже скриптов, кроме заведомо разрешенного администратором. Даже если шифровальщик проберется в систему, он просто не сможет запуститься.
  • Компонент Process Memory Protection следит за целостностью процессов в памяти устройства и предотвращает попытки эксплуатации даже неизвестных уязвимостей. Соответственно, шифровальщик не сможет распространяться по сети.
  • В состав Kaspersky Embedded Systems Security входит централизованное управление файерволом, так что при обнаружении уязвимости, позволяющей заражению распространяться по сети, можно оперативно закрыть используемый ей порт.
  • Решение оснащено технологией контроля подключаемых USB-устройств, так что заражение не сможет произойти, даже если кто-то подключит непроверенное устройство (например, во время сервисного обслуживания).
  • При необходимости опциональный антивирусный модуль позволит вычистить из системы остатки заразы.

По нашим данным, ни одно из сотен тысяч устройств, защищенных Kaspersky Embedded Systems Security по всему миру, не пострадало во время эпидемии WannaCry. Это можно считать достаточно серьезной проверкой на прочность в реальной жизненной ситуации. Так что, если в вашей инфраструктуре работают встраиваемые системы на базе операционных систем Windows Embedded, рекомендуем обратить внимание на наше решение.