Големите сајбер-инциденти се добра причина да се подобрат работите не само во безбедноста на информациите, туку и во ИТ. Менаџментот е подготвен да посвети ресурси и искрено сака позитивни промени, но треба да бидете реални за обемот и буџетот. Кои мерки ќе дадат најголем придонес за спречување и минимизирање на влијанието на новите инциденти?
Подготвеноста за идни сајбер напади се нарекува сајбер-отпорност. И не се работи само за зајакнување на одбраната. За една компанија, сајбер-отпорноста е способност да се бори наспроти сајбер-напад или друг сајбер-инцидент. Тоа значи дека има технички и организациски мерки за откривање, реагирање и закрепнување од инцидентите, а потоа прилагодување и учење од истите. Концептот е наведен во стандардот ISO/IEC 27001.
Или, како што самите организации често велат: како може една компанија да спречи да влезе ransomware (откупнен софтвер) и ако влезе, да го спречи да направи штета? Тоа е прашањето на кое ќе се обидеме да одговориме.
Од каде да тргнете?
Списокот на технологии за спречување и ублажување на напади е речиси бесконечен. Треба да дадете приоритет со проценување на ризиците и штетите од различни инциденти во сајбер безбедноста, спречување на најверојатните напади од рамката ATT&CK и примена на една од многуте книги за ублажување на специфичните ризици (пример 1, пример 2). Но, постојат неколку важни први чекори. Прво, не треба да ги ширите вашите напори премногу слабо – препорачуваме да се фокусирате на неколку основни решенија кои ќе создадат ефект толку влијателен што сите други проекти најдобро е да се одложат додека не се имплементираат овие основи. Сите решенија на списокот значително го намалуваат ризикот од најчестите напади, го поедноставуваат одговорот на инцидентот и ја намалуваат штетата доколку се случи упад. Значи, ако на вашата компанија и недостасува нешто од оваа листа, имплементирајте го уште денес.
Не можеме да ја пренагласиме важноста на имплементацијата на овие технологии на СИТЕ компјутери во вашата компанија. Тоа значи сите крајни точки (вклучувајќи ги сите корпоративни и лични лаптопи и паметни телефони), сите сервери и сите виртуелни и контејнеризирани работни оптоварувања, но можеби не сте свесни за постоењето на некои компјутери и сервери. Затоа, започнете со попис на сите ИТ средства за да се осигурате дека безбедносните политики ќе ја покријат целата корпоративна инфраструктура.
Откривање и одговор на крајната точка (EDR)
Сите компјутери, вклучително и серверите и виртуелните машини, мора да имаат инсталирано EDR агент, со овозможени функции за блокирање закани. EDR е основна технологија за заштита која комбинира заштита од малициозен софтвер со следење и одговор, намената за посложени системи за безбедност на информации.
Осигурајте се дека можете да примате телеметрија од сите компјутери, бидејќи на секој внатрешен или надворешен експерт за безбедност ќе му треба за брзо да ги анализира потенцијалните инциденти. Водечките решенија автоматски го блокираат огромното мнозинство на вообичаени сајбер-закани, затоа проверете дали сите функции за блокирање на познатата злонамерна активност се овозможени на сите компјутери, според политиката за заштита на вашата компанија.
Мултифакторска автентикација
Според различни проценки, 60-80% од сајбер нападите започнуваат со кражба на сметки. Затоа се смета за недозволиво да се заштити пристапот до компјутерските системи само со лозинка: премногу е лесно да се погоди, да се украде или со брутално да се разоткрие. Корисничкото најавување мора да се изврши со MFA (повеќекратна идентификација). Најчестата форма користи два фактори (лозинка и еднократен код), па оттука е позната како автентикација со два фактори или 2FA. Најисплатливите решенија користат апликација за автентикатор, но, во зависност од спецификите на организацијата и позицијата на вработениот, тоа може да биде која било комбинација од апликација, USB токен, биометрика итн. Генерално, MFA се препорачува за сите системи на компанијата, но неговото распоредување треба да биде приоритетно за услугите што се достапни надворешно, како што се е-пошта и VPN.
Заштитени резервни копии
Бекапите долго време ги штитат компаниите не само од пожари и хардверски дефекти, туку и сајбер напади. Напаѓачите со откупен софтвер се свесни за ова, така што речиси секој напад на ransomware вклучува насочено бришење на резервните копии на информации. Поради оваа причина, стратегијата за резервна копија мора да ги земе предвид сите сценарија, како што е брзо враќање од лесно достапна копија – во случај на дефект на хардверот или друг ИТ инцидент, како и гарантирано враќање во случај на напад на откупни софтвери. Многу е веројатно дека ќе бидат потребни две посебни резервни копии. Резервните копии отпорни на рансомвер се оние складирани на медиуми кои се физички исклучени од мрежата (не многу погодни, но сигурни), како и во „непроменливо“ складирање во облак, каде што податоците може да се додаваат, но не и да се заменат или избришат (практично, доверливо и потенцијално поскапа опција). Откако ќе ја создадете вашата непроменлива резервна копија, спроведете обука за обновување податоци за да бидете сигурни дека тоа може да се направи и за да го процените потребното време (плус тоа ќе го забрза одговорот на вашиот тим во случај на вистински напад).
Управување со апликации и закрпи
Сите компјутери во компанијата, без разлика дали се работи за десктоп, виртуелен сервер или лаптоп на вработен на службено патување, мора да имаат инсталирани алатки кои им овозможуваат на администраторите да управуваат со машината од далечина.
Критичните активности вклучуваат компјутерска дијагностика (проверка за достапност на потребните апликации, проверка на статусот на мрежата, здравјето на VPN, ажурирања на EDR, итн.), инсталирање апликации и ажурирања, тестирање за пропусти итн.
Таквите способности се од витално значење, како за секојдневната работа, така и за време на одговорот на инцидентот. Во секојдневните операции, тие обезбедуваат сајбер-хигиена, како што е брза инсталација на важни безбедносни ажурирања на сите компјутери. За време на инциденти, може да биде неопходно да се стартува, на пример, специјализирана алатка или да се инсталира сертификат – и само на административните системи треба да им биде дозволено да го вршат тоа во разумна временска рамка, вклучително и за вработените од далечина.
Најпогодни за оваа задача се UEM системите кои ви дозволуваат да управувате со различни уреди, вклучувајќи работни и персонални компјутери и паметни телефони, и да ги применувате политиките на компанијата за нив. Исто така, имате можност да се вооружите со високо специјализирани решенија, како што се управување со закрпи, VNC/RDP и други системи.
Единствени лозинки
Управувањето со привилегиран пристап и идентификување на безбедноста е многу широка тема. Добро изградената безбедност на идентитетот го зголемува нивото на заштита на компанијата и го поедноставува животот на вработените. Но, целосната имплементација може да биде долг проект, така што првичниот фокус треба да биде на најважното, прво да се осигура дека секој компјутер во компанијата е заштитен со единствена локална администраторска лозинка. Користете ја бесплатната алатка LAPS за да ја спроведете оваа мерка. Оваа едноставна мерка на претпазливост ќе ги спречи напаѓачите брзо да се движат низ мрежата, компромитувајќи ги компјутерите еден по еден користејќи ја истата лозинка.
Минимизирање на ранливите услуги
Редовно скенирајте ги IP-адресите на вашата компанија за да бидете сигурни дека серверите и услугите што треба да бидат достапни само на локалната мрежа не се глобално изложени. Ако таква услуга некогаш се појави на интернет, преземете брза акција за да го блокирате надворешниот пристап до неа. Ако поради некоја причина треба да биде достапен од интернет, применувајте редовни безбедносни ажурирања и заштитете го со повеќе факторска идентификација. Овие мерки се особено важни за омилените хакерски цели како што се: конзоли за веб-менаџмент, RDP, Telnet/SSH, SMB, SNMP и FTP. Најдобро е да се претпостави дека сите услуги се видливи преку интернет и редовно да ги скенирате за пропусти, слаби лозинки и други дефекти.
