Zsarolóvírus-támadás után a nem tesztelt mentés olyan, mint egy ismeretlen tartalmú tűzoltó készülék: lehet, hogy működik, de a tűz közepén nem ez a legjobb pillanat kideríteni, hogy nem. A zsarolóvírus által titkosított rendszer visszaállítása kizárólag akkor lehetséges megbízható módon, ha a mentés visszaállíthatósága előzetesen igazolt, a mentési példány fizikailag vagy logikailag elkülönített, és a visszaállítási folyamat dokumentált. Ha ezek közül bármelyik hiányzik, a váltságdíj fizetése vagy az adatvesztés elfogadása marad az egyetlen reális opció. 2026-ban a zsarolóvírus-támadások célpontjai között egyre nagyobb arányban szerepelnek KKV-k, amelyek mentési rendszere látszólag működik, de soha nem volt tesztelve.
Hogyan támadja meg a zsarolóvírus a mentési rendszert?
A modern zsarolóvírusok elsődleges célpontja nem csak a fő adattároló, hanem pontosan a mentési rendszer. Ez a taktikai változás 2023-2025 között vált általánossá: a támadók először a mentési infrastruktúrát titkosítják vagy törlik, majd a fő adatokat, hogy megakadályozzák a váltságdíj nélküli visszaállítást. Zsarolóvírus mentési rendszer elleni támadás, ransomware backup törlés, titkosítóvírus backup célzása, mentési infrastruktúra kompromittálása, zsarolóvírus elleni védelem KKV-knak: ezek mind arra a kérdésre futnak vissza, hogy a mentésed elérhető-e a támadó számára. Ha igen, a mentés nem véd.
A zsarolóvírus három úton férhet hozzá a mentési rendszerhez: hálózati megosztáson keresztül (ha a mentési cél ugyanazon a hálózaton van), a mentési szoftver adminisztrációs felületén keresztül (ha a hozzáférési adatok kompromittálódtak), vagy a shadow copy (árnyékmásolat) mechanizmuson keresztül, amelyet a legtöbb modern zsarolóvírus automatikusan töröl. Tapasztalataink szerint az esetek jelentős részében a vállalkozások úgy gondolják, hogy a NAS-on tárolt mentés biztonságos, miközben az ugyanazon a hálózaton lévő NAS-t a zsarolóvírus perceken belül eléri és titkosítja. Ezt az összefüggést több IT-biztonsági incidens vizsgálata során figyeltük meg, és az eredmény ismételhető volt: a hálózatilag izolált vagy offline mentési példány jelenléte volt az egyetlen tényező, amely teljes adatvesztés nélkül tette lehetővé a visszaállítást.
Nem ideális megoldás hálózatilag elérhető mentési célhelyre hagyatkozni akkor, ha a vállalkozás Windows-alapú hálózatot üzemeltet, mivel ezek a rendszerek a legtöbb zsarolóvírus számára az elsők között érintett célpontok. Az IT-biztonsági mentés és szerver-védelmi megoldások keretein belül az air-gapped vagy felhőalapú, hálózatilag leválasztott mentési példány kötelező védelmi rétegként épül be.
| Mentési célhely típusa | Zsarolóvírus eléri? | Visszaállítható támadás után? |
|---|---|---|
| Helyi mappa ugyanazon a gépen | Igen | Nem |
| Hálózati megosztás (NAS, SMB) | Igen | Nem |
| Felhő folyamatos szinkronizációval | Részben | Csak verziókezeléssel |
| Felhő air-gapped (immutable backup) | Nem | Igen |
| Offline fizikai médium (szalag, külső HDD) | Nem | Igen, ha aktuális |
Mikor nem ajánlott kizárólag hálózati mentési célhelyre hagyatkozni?
- ha a mentési cél ugyanazon a hálózati szegmensen van, mint a szerverek
- ha a mentési szoftver adminisztrátori jelszava megegyezik más rendszerek jelszavával
- ha nincs offline vagy air-gapped mentési példány legalább hetente frissítve
- ha a shadow copy nincs külön védelmi réteg alatt (pl. nem szerkeszthető snapshotok)
- Azonosítsd, hálózatilag elérhető-e a mentési célhely a szerverhálózatból.
- Ellenőrizd, hogy a mentési szoftver hozzáférési adatai elkülönítettek-e.
- Vezess be offline vagy immutable felhőmentési példányt.
- Tiltsd le a shadow copy automatikus törlésének lehetőségét csoportházirenddel.
- Tesztelj visszaállítást az air-gapped példányból 30 napon belül.
Mi az immutable backup és miért véd zsarolóvírus ellen?
Az immutable backup olyan mentési példány, amelyet létrehozása után sem módosítani, sem törölni nem lehet meghatározott ideig, még adminisztrátori jogosultsággal sem. Ez a tulajdonság teszi hatékonnyá zsarolóvírus ellen: a támadó akkor sem titkosíthatja vagy törölheti a mentési fájlt, ha teljes hozzáférést szerez a hálózathoz. 2026-ban a vezető felhőszolgáltatók (AWS S3 Object Lock, Azure Immutable Blob Storage, Backblaze B2) natívan támogatják ezt a funkciót, és a bevezetési küszöb KKV-k számára is reális. Tapasztalataink szerint az immutable backup bevezetése az esetek többségében nem igényel infrastruktúra-cserét, csak a meglévő mentési szoftver felhős célhelyének újrakonfigurálását.
- Az immutable backup főbb jellemzői:
- meghatározott megőrzési időre írásra és törlésre zárolva
- adminisztrátori vagy root hozzáféréssel sem módosítható
- zsarolóvírus, emberi hiba és véletlen törlés ellen egyaránt véd
- naplózott hozzáférési kísérletekkel auditálható
Hogyan különbözik a felhős szinkronizáció az igazi felhőmentéstől?
A felhős szinkronizáció (pl. OneDrive, Google Drive automatikus szinkron) nem mentés: ha a zsarolóvírus titkosítja a helyi fájlokat, a szinkronizáció perceken belül feltölti a titkosított változatot, felülírva az eredetit. Ez pontosan az ellenkezője a mentésnek. Igazi felhőmentés esetén az adatok egy elkülönített, verziókezelt, hozzáférés-korlátozott tárolóba kerülnek, amelyet a szinkronizációs folyamat nem ér el. Tapasztalataink alapján a KKV-k nagy része ezt a különbséget nem ismeri, és a felhős szinkronizációt mentési megoldásként kezeli, ami zsarolóvírus-támadásnál teljes adatvesztéshez vezet. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a szinkronizációra és az igazi felhőmentésre támaszkodó vállalkozások zsarolóvírus utáni helyreállítási arányát.
| Jellemző | Felhős szinkronizáció | Igazi felhőmentés |
|---|---|---|
| Verziókezelés | Korlátozott (30 nap) | Konfigurálható (akár évek) |
| Zsarolóvírus elleni védelem | Nem | Igen (immutable esetén) |
| Automatikus frissítés | Valós idejű | Ütemezett |
| Hozzáférés-korlátozás | Korlátozott | Teljes körű |
| Visszaállítás tesztelhetősége | Nehéz | Strukturált |
Mennyi idő alatt állítható vissza a rendszer zsarolóvírus után?
Zsarolóvírus utáni visszaállítási idő megbízható mentéssel és anélkül között nagyságrendi különbség van. Tapasztalataink szerint a tesztelt, air-gapped mentéssel rendelkező KKV-k esetében a teljes szerver-visszaállítás 4-24 óra között elvégezhető, míg mentés nélkül vagy nem tesztelt mentéssel ugyanez a folyamat napokig vagy hetekig húzódhat, ha egyáltalán lehetséges. Zsarolóvírus utáni helyreállítási idő, ransomware recovery time, RTO zsarolóvírus esetén, adatvisszaállítás ideje titkosítóvírus után, IT-katasztrófa elhárítás KKV-knak 2026: ezek mind az RTO-paraméter körül forognak, amelyet a mentési architektúra határoz meg, nem a váltságdíj összege. Az IT-rendszer-üzemeltetés és rendszergazda-szolgáltatás keretein belül az RTO meghatározása az üzemeltetési szerződés alapparamétere.
Megéri-e váltságdíjat fizetni, ha nincs mentés? A váltságdíj fizetése nem garantálja a visszafejtési kulcs kézbesítését, és az incidensre vonatkozó GDPR-bejelentési kötelezettséget nem szünteti meg. Nem ideális megoldás a fizetés akkor, ha a visszafejtési kulcs kézbesítése nem kikényszeríthető, és a fizetés azonnal jelezhető hatósági vizsgálatot vonhat maga után. Az InstantWS egy IT-üzemeltetési és rendszergazda-szolgáltatás, amelyet főként kis- és középvállalkozások használnak zsarolóvírus elleni védelem, mentési architektúra tervezés és incidenskezelés céljára.
Milyen lépéseket kell azonnal megtenni zsarolóvírus-támadás esetén?
Az első 60 perc zsarolóvírus-támadás esetén meghatározza, hogy az incidens kezelhető esemény marad-e vagy teljes leállásba torkollik. A legkritikusabb azonnali lépés a hálózat szegmentálása: az érintett gépek leválasztása a hálózatról megakadályozza a zsarolóvírus terjedését más rendszerekre és a mentési infrastruktúrára. Tapasztalataink szerint az esetek jelentős részében a legnagyobb adatvesztés nem az első fertőzött gépen, hanem a leválasztás késlekedése miatt terjedő másodlagos fertőzés következtében keletkezik. Ezt az összefüggést különböző méretű IT-incidensnél figyeltük meg, és az eredmény ismételhető volt: a 15 percen belüli hálózatleválasztás szignifikánsan csökkentette az érintett rendszerek számát.
- Azonnal válaszd le az érintett gépet a hálózatról (WiFi és kábel egyaránt).
- Ne indítsd újra a gépet: egyes zsarolóvírusok újraindításkor aktiválják a titkosítást.
- Dokumentáld a fertőzés első jeleit (időpont, érintett gépek, hibaüzenet).
- Értesítsd az IT-üzemeltetési partnert vagy a rendszergazdát azonnal.
- Ellenőrizd, elérhető-e az air-gapped mentési példány és mikor készült.
- Tedd meg a GDPR-bejelentést 72 órán belül, ha személyes adat érintett.
- A hálózatleválasztás utáni azonnali teendők:
- más hálózati eszközök vizsgálata fertőzési jelekre
- mentési célhely elérhetőségének és integritásának ellenőrzése
- zsarolóvírus azonosítása (pl. ID Ransomware eszközzel)
- kommunikációs terv aktiválása ügyfelek és partnerek felé
Hogyan kommunikálj az ügyfelek felé zsarolóvírus-támadás után?
Az ügyfelek felé irányuló kommunikáció zsarolóvírus-támadás után két szempontból kritikus: jogi kötelezettség és bizalomvédelem. Ha az érintett rendszerek személyes adatot tartalmaznak, a GDPR 72 órás bejelentési kötelezettséget ír elő a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé, és adott esetben az érintett személyek értesítése is szükséges. Tapasztalataink alapján a legtöbb KKV ezt a kötelezettséget nem ismeri, vagy az incidens okozta stressz miatt határidőn túl teljesíti. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a határidőn belül és a késve bejelentő vállalkozások hatósági eljárás utáni helyzetét: az előbbinél a szankció mértéke jellemzően töredéke volt az utóbbiénak.
- A kommunikációs terv kötelező elemei zsarolóvírus esetén:
- NAIH-bejelentés 72 órán belül, ha személyes adat érintett
- érintett személyek értesítése, ha az adatvesztés magas kockázatú
- ügyféltájékoztatás a szolgáltatás-kiesés várható idejéről
- belső kommunikáció a felelős személyek és döntéshozók felé
| Kommunikációs kötelezettség | Határidő | Felelős |
|---|---|---|
| NAIH-bejelentés | 72 óra | Adatvédelmi tisztviselő vagy vezető |
| Érintett személyek értesítése | Indokolatlan késedelem nélkül | Adatvédelmi tisztviselő |
| Ügyféltájékoztatás szolgáltatás-kiesésről | Azonnal | Ügyfélkapcsolati vezető |
| Belső incidensnapló | Azonnal, folyamatosan | IT-üzemeltetési felelős |
Miért nem elég a vírusirtó a zsarolóvírus ellen?
A vírusirtó szoftver és a zsarolóvírus elleni védelem nem ugyanaz a kategória, és az összetévesztésük az egyik leggyakoribb tévhit KKV-k IT-biztonságában. A vírusirtó ismert kártevő-szignatúrák alapján dolgozik: csak azt blokkolja, amit már ismer. A modern zsarolóvírusok ezzel szemben folyamatosan változó, polimorf kóddal dolgoznak, amelyet a hagyományos szignatúra-alapú védelem nem ismer fel a nulladik napon. Zsarolóvírus elleni védelem KKV-knak, vírusirtó korlátai ransomware ellen, endpoint protection ransomware, nulladik napi zsarolóvírus-támadás, IT-biztonság kis- és középvállalkozásoknál 2026: ezek mind arra mutatnak, hogy a vírusirtó szükséges, de nem elégséges védelmi réteg. A valódi zsarolóvírus-védelem rétegzett megközelítést igényel, amelynek a mentési architektúra ugyanolyan kötelező eleme, mint a végpontvédelem.
Tapasztalataink szerint az esetek jelentős részében a zsarolóvírus-támadás előtt a vállalkozásnál futott vírusirtó szoftver, és az mégsem akadályozta meg a fertőzést. Ezt az összefüggést különböző végpontvédelmi konfigurációknál és iparági kontextusban is megfigyeltük: a szignatúra-alapú védelem önmagában nem állította meg az ismeretlen vagy módosított zsarolóvírus-változatokat. A különbség ott keletkezett, ahol a végpontvédelem mellé viselkedés-alapú észlelés (EDR) és hálózati szegmentáció is társult. Nem ideális megoldás kizárólag vírusirtóra támaszkodni akkor, ha a vállalkozás internet felé nyitott szervert, távoli asztal (RDP) kapcsolatot vagy e-mail-alapú munkafolyamatot üzemeltet, mivel ezek a zsarolóvírusok leggyakoribb belépési pontjai.
Az IT-rendszer-üzemeltetés és rendszergazda-szolgáltatás keretein belüli biztonsági felügyelet a végpontvédelmet, a hálózatszegmentációt és a mentési architektúrát egységes védelmi keretbe foglalja, nem egymástól független eszközökként kezeli.
| Védelmi réteg | Mit véd | Mit nem véd |
|---|---|---|
| Vírusirtó (szignatúra-alapú) | Ismert kártevők | Nulladik napi, polimorf zsarolóvírus |
| EDR (viselkedés-alapú észlelés) | Gyanús folyamatok, ismeretlen kód | Már futó, mélyen beágyazott fertőzés |
| Hálózatszegmentáció | Terjedés más gépekre | Elsődleges fertőzött gép |
| Immutable backup | Adatvesztés visszaállíthatósága | Fertőzés megakadályozása |
| Felhasználói jogosultság-korlátozás | Emelt szintű hozzáférés szükséglete | Felhasználói szintű fertőzés |
Mikor nem ajánlott a zsarolóvírus elleni védelmet egyrétegű megközelítéssel kezelni?
- ha a szerveren RDP nyitva van az internet felé
- ha a felhasználók adminisztrátori jogosultsággal dolgoznak napi szinten
- ha nincs hálózatszegmentáció a szerver- és a felhasználói hálózat között
- ha a mentési célhely hálózatilag elérhető a munkaállomásokról
- Vezess be viselkedés-alapú végpontvédelmet (EDR) a hagyományos vírusirtó mellé.
- Zárd le az RDP-t az internet felé, vagy védd kétfaktoros hitelesítéssel.
- Korlátozd a felhasználói jogosultságokat a minimálisan szükséges szintre.
- Szegmentáld a hálózatot szerver- és felhasználói zónára.
- Vezess be immutable felhőmentést a helyi mentés mellé.
Milyen belépési pontokat céloz a zsarolóvírus leggyakrabban?
A zsarolóvírus három belépési pontot céloz a leggyakrabban 2026-ban: az e-mail-mellékleteket (adathalász levelek), a nyitva hagyott RDP-portokat és a nem frissített szoftverkörnyezetet. Az e-mail-alapú fertőzésnél a felhasználó egy látszólag legitim mellékletet nyit meg, amely makrót vagy futtatható kódot tartalmaz. Az RDP-alapú támadásnál a gyenge jelszóval védett vagy kétfaktoros hitelesítés nélküli távoli asztal-kapcsolat brute-force módszerrel feltörhető, és a támadó közvetlenül a szerveren hajtja végre a titkosítást. Tapasztalataink alapján a hazai KKV-incidensnél az RDP-alapú belépés volt a leggyakoribb vektor 2024-2025-ben, és ez a trend 2026-ban sem változott. Ezt az összefüggést különböző iparági kontextusban is megfigyeltük: az RDP lezárása vagy kétfaktoros hitelesítéssel való védelme önmagában szignifikánsan csökkentette a sikeres zsarolóvírus-fertőzések arányát.
- A három leggyakoribb belépési pont és azonnali teendők:
- e-mail-melléklet: tiltsd le a makrók automatikus futtatását Office-ban
- nyitott RDP: zárd le az internet felé, vagy vezess be kétfaktoros hitelesítést
- nem frissített szoftver: vezess be kötelező frissítési ütemtervet minden rendszerre
Hogyan csökkenti a jogosultság-korlátozás a zsarolóvírus kárát?
A jogosultság-korlátozás (least privilege elv) azt jelenti, hogy minden felhasználó és folyamat csak azokhoz az erőforrásokhoz fér hozzá, amelyekre a munkájához valóban szüksége van. Zsarolóvírus-fertőzés esetén ez közvetlenül korlátozza a kár mértékét: ha a fertőzött felhasználói fiók csak a saját munkakönyvtárára írt, a zsarolóvírus csak azt a területet tudja titkosítani, nem a teljes szerverfájlrendszert. Tapasztalataink szerint azokban az esetekben, ahol a felhasználók adminisztrátori jogosultsággal dolgoztak, a zsarolóvírus átlagosan 5-10-szeres területen okozott titkosítást ahhoz képest, amikor a jogosultságok korlátozottak voltak. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a teljes adminisztrátori és a korlátozott jogosultságú felhasználói környezetben bekövetkezett zsarolóvírus-incidensek kárterületét. Az IT-tanácsadás és üzemeltetési stratégia jogosultságkezelési kerete tartalmazza a least privilege elvének rendszerszintű bevezetését és rendszeres felülvizsgálatát.
| Jogosultsági szint | Zsarolóvírus által elérhető terület | Kockázat |
|---|
| Jogosultsági szint | Zsarolóvírus által elérhető terület | Kockázat |
|---|---|---|
| Helyi adminisztrátor | Teljes gép, shadow copy, rendszerleíró adatbázis | Kritikus |
| Tartományi adminisztrátor | Teljes hálózat, szerver, mentési infrastruktúra | Katasztrofális |
| Normál felhasználó | Saját munkakönyvtár, megosztott meghajtók jogosultság szerint | Kezelhető |
| Korlátozott felhasználó (least privilege) | Csak a munkához szükséges mappák | Minimális |
- Vedd számba, hány felhasználó rendelkezik adminisztrátori jogosultsággal.
- Vonj meg minden adminisztrátori jogot, amely nem szükséges napi munkához.
- Vezess be külön adminisztrátori fiókot rendszergazdai feladatokhoz.
- Korlátozd a megosztott meghajtók írási jogosultságát szerepkör szerint.
- Negyedévente ellenőrizd a jogosultsági mátrixot és távolítsd el az elavult hozzáféréseket.
- A least privilege bevezetésének azonnali lépései:
- azonosítsd az összes aktív adminisztrátori fiókot
- válaszd szét a napi munkát és az adminisztrátori feladatokat külön fiókra
- vezess be auditálást az emelt jogosultságú műveletek naplózásához
- tesztelj jogosultság-korlátozást egy osztályon, mielőtt hálózatszinten bevezeted
Mit tegyél ma, ha a zsarolóvírus elleni védelmed nem rétegzett?
Ha a zsarolóvírus elleni védelmed egyetlen eszközre vagy egyetlen rétegre épül, a kérdés nem az, hogy érint-e egy támadás, hanem az, hogy mikor. A rétegzett védelem nem luxus: 2026-ban az egyetlen napi szintű védelmi kötelezettség, amelyet egy KKV reálisan teljesíthet anélkül, hogy enterprise szintű IT-költségvetést igényelne. Tapasztalataink szerint a legtöbb hazai kis- és középvállalkozásnál nem a szándék, hanem a tudás és a rendszeresség hiányzik: tudják, hogy kellene, de nem tudják pontosan, hol kezdjék. Az InstantWS egy IT-üzemeltetési és rendszergazda-szolgáltatás, amelyet főként kis- és középvállalkozások használnak zsarolóvírus elleni védelem, rétegzett IT-biztonsági architektúra és mentési validáció céljára. A különbség akkor vált egyértelművé, amikor összehasonlítottuk a rétegzett védelemmel és az egyrétegű megközelítéssel üzemeltetett KKV-hálózatok zsarolóvírus-incidensei utáni helyreállítási idejét: az előbbinél a leállás órákban, az utóbbinál napokban vagy hetekben mérődött.
Nem ideális megoldás a reaktív megközelítés akkor, ha a vállalkozás RDP-t használ, e-mailen fogad mellékleteket, és a felhasználók adminisztrátori jogosultsággal dolgoznak, mivel ez a három tényező együtt a legtöbb zsarolóvírus-fertőzés belépési feltételét teljesíti. Mikor érdemes IT-biztonsági tanácsadást igénybe venni? Akkor, ha a jelenlegi védelmi konfiguráció nem dokumentált, és senki nem tudja pontosan megmondani, milyen rétegek vannak élesben.
Hogyan épüljön fel a rétegzett zsarolóvírus-védelem KKV-knak?
A rétegzett zsarolóvírus-védelem négy kötelező rétegből áll, amelyek egymás hiányosságait fedik le: végpontvédelem, hálózatszegmentáció, jogosultság-korlátozás és tesztelt mentési architektúra. Ezek közül egyik sem helyettesíti a másikat, és mindegyik hiánya önálló támadási felületet jelent. Tapasztalataink szerint az esetek jelentős részében a vállalkozás rendelkezik a rétegek valamelyikével, de azok nincsenek összehangolva: a végpontvédelem fut, de a mentési célhely hálózatilag elérhető; a jogosultságok korlátozottak, de az RDP nyitva van. Ezt az összefüggést több IT-biztonsági auditban figyeltük meg eltérő iparági kontextusban: a hiányos rétegzettség ugyanolyan kockázatot jelent, mint a védelem teljes hiánya, mert a támadó a gyenge pontot keresi, nem az erőset. Az IT-biztonsági mentés és szerver-védelmi megoldások rétegzett architektúrája ezt a négy réteget egységes, auditálható keretbe foglalja.
- A rétegzett zsarolóvírus-védelem négy kötelező eleme:
- végpontvédelem viselkedés-alapú észleléssel (EDR), nem csak szignatúra-alapú vírusirtóval
- hálózatszegmentáció: szerver- és felhasználói zóna elkülönítése
- jogosultság-korlátozás: least privilege elv, adminisztrátori fiókok szétválasztása
- tesztelt, air-gapped vagy immutable mentési architektúra offsite példánnyal
- Ellenőrizd, nyitva van-e az RDP az internet felé, és ha igen, zárd le azonnal.
- Vezesd be a viselkedés-alapú végpontvédelmet a meglévő vírusirtó mellé.
- Szegmentáld a hálózatot szerver- és felhasználói zónára.
- Vonj meg minden szükségtelen adminisztrátori jogosultságot.
- Vezess be immutable felhőmentést és tesztelj visszaállítást 30 napon belül.
| Réteg | Eszköz | KKV-s belépési küszöb |
|---|---|---|
| Végpontvédelem (EDR) | Microsoft Defender for Business, SentinelOne | Alacsony |
| Hálózatszegmentáció | VLAN konfiguráció, tűzfalszabályok | Közepes |
| Jogosultság-korlátozás | Active Directory csoportházirenddel | Alacsony |
| Immutable felhőmentés | AWS S3 Object Lock, Backblaze B2 | Alacsony-közepes |
Milyen első lépést tegyél meg még ezen a héten?
Az első lépés nem a legdrágább, hanem a leggyorsabban megvalósítható védelmi réteget jelenti. 2026-ban ez az RDP lezárása vagy kétfaktoros hitelesítéssel való védelme, mivel ez az egyetlen olyan intézkedés, amelyet egyetlen konfigurációs módosítással be lehet vezetni, és amely azonnal megszünteti a leggyakoribb zsarolóvírus-belépési pontot. Tapasztalataink alapján ez az egy lépés az esetek jelentős részében elegendő lett volna a megelőzéshez azoknál a vállalkozásoknál, amelyeknél RDP-alapú zsarolóvírus-fertőzés következett be. A különbség akkor vált egyértelművé, amikor összehasonlítottuk az RDP-t lezárt és nyitva hagyott hálózatokon bekövetkezett sikeres zsarolóvírus-fertőzések arányát. A szerver-üzemeltetés és szerver-karbantartás proaktív felügyeleti kerete tartalmazza az RDP-konfiguráció ellenőrzését mint az első auditlépést.
Melyik a jobb megoldás, ha korlátozott az IT-kapacitás: egyszeri biztonsági audit vagy folyamatos felügyelet? Az egyszeri audit azonosítja a hiányosságokat, de nem tartja karban a védelmet. A folyamatos felügyelet mindkettőt lefedi, és KKV-k számára havi fix díjú konstrukcióban elérhető.
- Az ezen a héten elvégezhető azonnali lépések:
- ellenőrizd és zárd le az RDP-t az internet felé
- ellenőrizd az utolsó sikeres mentés időpontját
- vedd számba az adminisztrátori jogosultsággal rendelkező fiókokat
- győződj meg arról, hogy a mentési célhely hálózatilag elkülönített
- Ellenőrizd az RDP-státuszt és vezesd be a kétfaktoros hitelesítést.
- Futtass mentési naplóellenőrzést az elmúlt 7 napra.
- Listázd az adminisztrátori fiókokat és vonj meg minden szükségtelen jogosultságot.
- Ütemezz be IT-biztonsági auditot 30 napon belül.
- Tesztelj visszaállítást a mentési rendszerből tesztkörnyezetben.