В данном кейсе мы опишем инцидент и ход его решения. Мы еще раз обращаем внимание на значимость резервного копирования данных и составление детальной технической документации всей ИТ-системы.
Поговорим о произошедшей ситуации
Изначально клиент обратился к нам для проведения экспресс-аудита инфраструктуры. Мы предоставили коммерческое предложение с точной сметой работ. В течение недели заказчик размышлял над условиями контракта, но, внезапно, в эту самую неделю его компания подверглась атаке хакеров.
Успешная косметологическая компания, с тысячами клиентов и отлаженными бизнес-процессами, столкнулась с суровой проблемой — в один миг серверы оказались зашифрованы, данные стали недоступны. Поэтому запрос, поступивший от клиента, был уже не об аудите, а о спасении ИТ-инфраструктуры.
Заметим, что ситуация была серьезной, но основной сервер, на котором была установлена CRM, не был задет атакой. Поэтому не все бизнес-процессы остановились, и сотрудники компании частично могли продолжать работу.
Основной филиал компании занимает 3 этажа в бизнес-центре. В компании около 120 пользователей. Большая часть — колл-центры для входящих и исходящих звонков, но также присутствует множество кабинетов с компьютерами.
Задача: срочно восстановить работу всех сервисов после шифровальщика
Итак, мы получили запрос о помощи с возникшим инцидентом. В этот же день наша оперативная ИТ-группа выехала в офис клиента. На месте была проведена оценка последствий инцидента и согласован план действий по восстановлению ИТ-системы.
Отсутствие резервных копий – уязвимость, о которой многие забывают
Это частая ошибка, которую допускают многие компании, недооценивая важность бэкапов. Резервные копии – это страховой полис для вашего бизнеса, гарантия того, что в случае кибератаки, сбоя оборудования, пожара или других непредвиденных ситуаций, вы сможете быстро восстановить данные и работоспособность своей фирмы.
К сожалению, у клиента не была настроена система резервирования, из-за чего оперативно перезапустить работу сервисов было невозможно.
Для полного восстановления бизнес-процессов предприятия нам предстояло:
- Исследовать зашифрованный сервер и осуществить попытку расшифровать данные;
- Спроектировать и построить новую ИТ-инфраструктуру гибридного типа;
- Восстановить доступ к сетевой инфраструктуре и осуществить корректную настройку оборудования.
Зашифрованный сервер мы перевезли к себе в офис. Наши специалисты пытались дешифровать данные, используя различные методы и инструменты. Мы анализировали алгоритмы шифрования, искали уязвимости в вирусе и проверяли базы данных известных ключей дешифрования. К сожалению, восстановить данные после шифровальщика оказалось невозможным из-за сложности алгоритма шифрования и отсутствия универсального ключа.
Параллельно с попытками дешифрования файлов, мы приступили к созданию проекта новой ИТ-инфраструктуры
Для повышения безопасности данных и исключения подобных ситуаций в будущем, было решено разместить ключевые сервисы (терминал, сервер печати и контроллер домена) в частном облаке.
В тот момент, когда сервисы были готовы к запуску, нам необходимо было решить задачу по сетевой ИТ-инфраструктуре.
Работы по реконфигурации сетевой инфраструктуры были реализованы в течение двух дней, в ночное время, чтобы не мешать работе сотрудников компании. Мы составили точную документацию по всему оборудованию и организовали реконфигурацию сети. Детально об этом читайте в проекте: “Восстановление сетевой инфраструктуры после кибератаки”.
Результат — восстановление работы всей ИТ-системы компании
- 1Восстановление ИТ-инфраструктуры. Нашими инженерами была разработана и реализована новая гибридная инфраструктура, сочетающая в себе преимущества локальных и облачных решений. Это обеспечило более высокую отказоустойчивость и масштабируемость системы.
- 2Возобновление бизнес-процессов. Благодаря оперативной разработке и внедрению новой ИТ-инфраструктуры, удалось в кратчайшие сроки возобновить ключевые бизнес-процессы компании.
- 3Повышение уровня безопасности. В рамках проекта была произведена комплексная перенастройка сетевого оборудования с применением современных средств защиты информации. Внедрены системы обнаружения и предотвращения вторжений, а также многофакторная аутентификация для доступа к критически важным ресурсам. Эти меры позволили значительно повысить уровень безопасности сети и снизить риски возникновения подобных инцидентов в будущем.
- 4Резервное копирование данных. Особое внимание было уделено системе создания резервных копий баз данных, которая является важнейшим элементом обеспечения стабильности бизнес-процессов. Была разработана и внедрена надежная система резервного копирования с использованием облачных хранилищ.
В итоге, проект позволил не только восстановить работоспособность ИТ-инфраструктуры компании, но и вывести ее на качественно новый уровень с точки зрения надежности, безопасности и эффективности.
