Восстановление ИТ-инфраструктуры после атаки вируса-шифровальщика

Основной задачей проекта было максимально быстрое восстановление работоспособности критичных сервисов и минимизация последствий инцидента для бизнеса.

Параллельно требовалось провести аудит инфраструктуры и устранить архитектурные и организационные проблемы информационной безопасности, которые позволили атаке распространиться внутри сети.

Перед нашей командой стояли задачи:

• восстановить инфраструктуру из резервных копий;
• вернуть в работу критичные сервисы;
• стабилизировать виртуальную инфраструктуру VMware;
• восстановить почтовые сервисы;
• провести аудит ИТ-инфраструктуры и информационной безопасности;
• снизить риски повторного инцидента;
• повысить отказоустойчивость и управляемость инфраструктуры.

Работы выполнялись совместно с внутренним ИТ-отделом заказчика в несколько этапов.

На первом этапе было проведено экспресс-обследование инфраструктуры и восстановление критичных сервисов из резервных копий. Выполнено развертывание виртуальных машин, восстановление серверов и проверка корректности работы ключевых сервисов.

Параллельно была проведена стабилизация инфраструктуры виртуализации:

• обновлены VMware ESXi;
• подготовлены новые виртуальные машины;
• настроено централизованное резервное копирование;
• выполнены тесты восстановления данных.

Отдельным блоком выполнялись работы по информационной безопасности. В рамках проекта была проведена ревизия привилегированных учетных записей Active Directory, внедрены единые парольные политики и реализован принцип наименьших привилегий.

Также были выполнены:

• сегментация административных доступов;
• внедрение Microsoft LAPS;
• настройка расширенного логирования;
• патчинг серверов и устранение уязвимостей;
• анализ сетевой архитектуры и сегментов сети.

Дополнительно была переработана почтовая инфраструктура, настроены VPN-подключения для защищённой удалённой работы сотрудников и внедрена система мониторинга инфраструктуры.

В результате проекта клиника смогла восстановить работоспособность критичных сервисов после атаки вируса-шифровальщика и существенно повысить устойчивость инфраструктуры к повторным инцидентам.

В результат работ вошли:

• восстановление серверной инфраструктуры и ключевых сервисов;
• восстановление сервисов из резервных копий;
• внедрение централизованного резервного копирования;
• аудит ИТ-инфраструктуры и информационной безопасности;
• устранение выявленных уязвимостей;
• сегментация административных доступов;
• внедрение современных политик безопасности;
• настройка мониторинга и защищенного VPN-доступа.

Проект позволил не только устранить последствия атаки, но и перевести инфраструктуру клиники на существенно более зрелый уровень информационной безопасности и управляемости.