Ransomware na NAS — pięć żelaznych zasad
We wtorek o 03:12 administrator średniej firmy odkrywa 12 TB na firmowym NAS zaszyfrowane, a jedyny backup offline ma miesiąc — rachunek za brak procedur przyszedł szybko i konkretnie.
jak to zwykle zaczyna się w praktyce
Większość udanych incydentów nie włamuje się przez „dziurę w systemie”, tylko korzysta z legalnego, uprzywilejowanego konta i wykonuje lateralny ruch po sieci. Jeden przejęty admin, potem dostęp do kilku udziałów SMB i nagle 12 TB plików zaczyna zmieniać rozszerzenia. To nie magia — to brak ograniczeń w dostępie i słaba segmentacja.
co załatwia lateralny ruch i dlaczego trzeba go blokować
Należy traktować ruch wschód–zachód (east‑west) jako główne pole walki: zablokuj SMB/445 między segmentami, zablokuj protokoły zarządzania (RPC, WinRM, admin‑paneli) po wewnętrznej sieci, ogranicz dostęp do paneli tylko z jump‑hostów i VPN. Firewall ma tu dwa zadania: wymusić reguły i mierzyć, a IDS/IPS — wykrywać niespodziewane skoki aktywności (masowe rename'y, wzrost liczby otwartych plików, nietypowy ruch SMB).
pięć żelaznych zasad
ograniczony dostęp (least privilege) — brak współdzielonych kont admin, zero logowania na root przez SSH, rozdzielenie ról, polityki sudo z minimalnymi prawami i ścisłe ACL na udziały. Konta uprzywilejowane tylko na czas konieczny i najlepiej przez mechanizmy czasowego podwyższenia uprawnień.
firewall + IDS/IPS — reguły blokujące SMB i protokoły zarządzania między segmentami, monitoring anomalii i alerty do SIEM. Konfiguruj reguły stateful, ogranicz źródła i cele ruchu administracyjnego i monitoruj skokowe operacje na plikach.
segmentacja i blokowanie SMB (east‑west) — użytkownicy i serwery w osobnych VLANach, dostęp do NAS tylko z konkretnych hostów, zabroń SMB bezpośrednio między desktopami. Wyłącz SMBv1, wymuś SMB signing i szyfrowanie, ew. użyj izolowanego kanału (VPN) dla dostępu aplikacyjnego.
regularne aktualizacje i higiena użytkownika — szybkie łatanie krytycznych luk.
obowiązkowa 2FA i offline/niezależne backupy — 2FA dla paneli administracyjnych, SSH i FTP; brak współdzielonych kluczy. Kopie offline z rotacją, immutable snapshots lub WORM, kopia fizycznie oddzielona od sieci (air‑gapped) oraz regularne testy odtwarzania. Podczas jednego audytu, gdzie 2FA na panelach i oddzielne kopie offline uratowały nas przed odbudową danych sprzed wielu miesięcy, wyciągnąłem też wnioski techniczne i nawet odpaliłem test pamięci ECC jako część rutynowego checku sprzętowego.
Technicznie: ogranicz reguły na firewallu do CIDRów zaufanych hostów, wdrażaj NAC, audytuj konta co 30 dni, zapisuj logi z NAS i IDS do zewnętrznego SIEM, monitoruj szybkość katalogowania plików i nietypowe operacje na plikach.