USE CASE #4
JEDEN LAPTOP, 200 PUNKTÓW SPRZEDAŻY
I CAŁKOWITY PARALIŻ - JAK RANSOMWARE ZATRZYMAŁ OGÓLNOPOLSKĄ SIEĆ HANDLOWĄ

ŹRÓDŁA PODATNOŚCI NA ATAK

• Firma korzystała jedynie z podstawowego rozwiązania Windows Defender, nie posiadając żadnego systemu do centralnego zarządzania bezpieczeństwem końcówek.
  
• Użytkownicy pracowali na kontach z uprawnieniami administratora, a konto administratora domenowego było stale zalogowane na wszystkich komputerach w celu ułatwienia wsparcia IT.
  
• Infrastruktura sieciowa opierała się na przełącznikach niezarządzanych, a router brzegowy pełnił jedynie funkcję podstawowego firewalla, bez zaawansowanej inspekcji ruchu.
  

INCYDENT

DLACZEGO ATAK SIĘ POWIÓDŁ?

• Brak monitoringu i SOC: nikt nie analizował logów i ruchu sieciowego, co pozwoliło malware’owi na swobodne działanie przez wiele tygodni.
  
• Nadmiarowe uprawnienia: stałe zalogowanie administratora domenowego pozwoliło wirusowi na błyskawiczną eskalację uprawnień i infekcję całej infrastruktury.
  
• Brak segmentacji sieci: brak podziału na VLAN-y sprawił, że zainfekowane urządzenie końcowe miało bezpośredni dostęp do krytycznej serwerowni.
• Błędne przekonanie o bezpieczeństwie: organizacja żyła w przeświadczeniu o odporności swojej infrastruktury, nieposiadając narzędzi do weryfikacji tego stanu w czasie rzeczywistym.
  

SKUTKI INCYDENTU

• Konieczne było ręczne odtwarzanie baz danych dla każdego punktu sprzedaży z osobna oraz odtwarzanie księgowości na podstawie plików JPK.
  
• Poza stratami z powodu przestoju firma musiała sfinansować odtworzenie pełnego datacenter w nowej lokalizacji oraz wymianę komputerów w oddziałach.
  
• Dopiero po incydencie wdrożono profesjonalną segmentację sieci (VLAN), zapory UTM oraz zaawansowany monitoring incydentów klasy EDR/SOC.
  

ROLA SOC ADQ: CO BY SIĘ ZMIENIŁO?

• Wczesna detekcja: analitycy SOC wykryliby instalację nieautoryzowanego oprogramowania i nietypowy ruch sieciowy generowany przez malware już w pierwszych dniach jego działania.
  
• Zablokowanie eskalacji: wykrycie nadużycia konta administratora pozwoliłoby na natychmiastowe odcięcie zainfekowanego komputera od reszty sieci.
  
• Ocalenie serwerowni: dzięki wczesnej reakcji incydent zostałby ograniczony do jednego laptopa, oszczędzając firmie miesięcy przestoju i ogromnych strat.
  

KLUCZOWE WNIOSKI:

• Nawet pojedynczy laptop poza kontrolą IT może doprowadzić do upadku całej serwerowni.
  
• Brak zasady najmniejszych uprawnień i stałe sesje administratora to autostrada dla ransomware.
  
• Koszt prewencji i stałego monitoringu 24/7 jest nieporównywalnie niższy niż koszty odtwarzania infrastruktury po skutecznym ataku.
  
• W rozproszonym środowisku (wiele oddziałów) nie da się dbać
  o bezpieczeństwo bez centralnego systemu nadzoru.