13+1 zásada pro bezpečí vaší sítě

Ransomware – před pár lety ještě slovo, které jsme sice znali, ale patřilo spíše do kategorie to se nás netýká”. Ovšem kyberkriminálníci to viděli jinak a tak bylo jen otázkou času, kdy se tento druh vyděračské havěti objeví i v našich luzích a hájích. A i když napadení benešovské nemocniceOKD nebyly zdaleka první případy, tak díky jejich medializaci se o tomto tématu začalo více mluvit. A s příchodem koronaviru se kyberkriminálníkům otevřely nové možnosti na phisingové a ransomwarové kampaně; velice tomu napomohl i fakt, že se zaměstnanci houfně (a mnohdy živelně) začali přesouvat z kanceláří do home office. Jen v Česku došlo za poslední tři měsíce k mnoha potvrzeným kybernetickým útokům (skutečný počet organizací v Česku, které se staly obětí nějakého kybernetického útoku, je zřejmě mnohem vyšší, ovšem ne všechny informace se dostanou na veřejnost): Správa Pražského hradu, Fakultní nemocnice Brno, Psychiatrická nemocnice Kosmonosy, Povodí VltavyÚřad městské části Praha 3. Dalším napadeným byla v posledních dnech medicínská společnost Fresenius, která má pobočky také v Česku.

Když už se tedy o tématu kybernetických zločinců a možnostech obrany před nimi více mluví, určitě nezaškodí připomenout si pár zásad, při jejichž dodržování lze riziko napadení vlastní infrastruktury dosti významně minimalizovat. V tomto článku se je pokusím shrnout beze snahy o příliš technická vyjádření a zabíhání do složitostí tak, aby byl pochopitelný všem. Tak snad se mi to podaří :-)

cybercrime

Zásada první
Nesnažte se najít jedno řešení na celou problematiku kybernetické bezpečnosti – žádná Silver Bullet” či Svatý Grál” (tedy jedno všezahrnující“ či všespásné“) řešení totiž neexistuje. Opravdu neexistuje! Tak jako máme dnes v autech mnoho různorodých řešení, která navyšují bezpečnost (samotná konstrukce auta zajišťuje pasivní bezpečnost, k tomu se přidávají bezpečnostní pásy a airbagy, dále ABS a další různé elektronické systémy apod.), tak teprve jejich kombinace v případě nehody nám velice zvyšuje pravděpodobnost toho, že nehodu přežijeme a vyvázneme pokud možno bez zranění. A stejně to je s kybernetickou bezpečností – teprve různé vrstvy“ zabezpečení a jejich správná kombinace nám poskytnou maximální možnou míru ochrany.

Zásada druhá
Používejte aktualizované verze operačních systémů. A aktualizujte pravidelně, aktualizace jednou za uherský rok” nechává útočníkům dost prostoru na to, aby využili nezáplatovaných chyb k průniku do vaší infrastruktury. Pokud z nějakého vážného důvodu opravdu musíte používat operační systémy po konci jejich životnosti (tedy takové, na které již výrobce neposkytuje aktualizace), tak alespoň tyto stroje vyčleňte do separátního segmentu sítě a věnujte jim zvláštní pozornost; ale lépe je samozřejmě takové stroje v infrastruktuře vůbec nemít. A nezapomeňte také na pravidelné aktualizace veškerého dalšího software, který používáte – stejně jako neaktualizovaný operační systém i on může být cestou k nákaze vaší infrastruktury

Zásada třetí
Používejte kvalitní antivirové řešení. Dnešní antiviry v sobě integrují spoustu bezpečnostních mechanismů a jejich záběr je poměrně široký, takže vám pomůžou mnoha problémům předejít. A stejně jako v případě operačních systémů platí – aktualizovat, aktualizovat, aktualizovat!

Zásada čtvrtá
Nevěřte odborníkům“, kteří tvrdí, že k zabránění nákazy stačí pouhý selský rozum, neotevírání podezřelých příloh a vůbec obezřetné chování na síti“ – není to už dávno pravda. Moderní malware dokáže využít nezáplatovaných chyb nejen v operačním systému, ale i v aplikacích atd. a dokáže se s jejich pomocí dostat do vaší infrastruktury bez toho, že byste museli vědomě provést nějakou akci (jako například spuštění přílohy z emailu).

Zásada pátá
I vaše firewally a síťové prvky si zaslouží vaši pozornost a aktualizace. Vždyť firewall či třeba router je v podstatě také počítač, tedy hardware, na kterém běží nějaký specializovaný software. A protože je známo a praxí potvrzeno, že každý software obsahuje chyby, tak je dobré pravidelně aktualizovat i tato zařízení. Pokud to dělat nebudete, otevíráte útočníkům další cestu do vaší infrastruktury, jak jsme nedávno v praxi ukázali na naší konferenci GREYCORTEX DAY, kde jsme předvedli naživo útok na typickou síťovou infrastrukturu.

Zásada šestá
Když to není nezbytně nutné, nepracujte pod administrátorským účtem. K běžné práci opravdu není potřeba a prolomí-li útočník zabezpečení na zařízení, kde jste (možná zbytečně) přihlášeni jako správce, tak mu jeho úsilí značně zjednodušíte a cestu k vašim datům (a potažmo penězům) mu značně usnadníte.

ransomware blog

Zásada sedmá
Pokud používáte pro práci jakoukoli formu vzdálené plochy, tak ji nemějte trvale zapnutou a už vůbec ne trvale otevřenou ven do internetu, bývá totiž častým cílem prvotní fáze útoku a necháváte tím (po)otevřená vrátka do vaší infrastruktury. Dávejte si vůbec pozor na to, jakým způsobem se připojují vaši vzdáleně pracující kolegové či dodavatelé a co vše mají povoleno, do jakých částí infrastruktury se mohou dostat a jak je jejich připojení k interním prostředkům zabezpečeno. A s tím souvisí i zásada příští:

Zásada osmá
Pro připojení zvenčí k interní síti používejte zásadně VPN (Virtual Private Network, česky virtuální privátní síť). Pokud umožníte připojení zvenku napřímo“ bez použití VPN, tak ho nějaký útočník dříve či později zneužije. A nepoužívané VPN účty zrušte, neboť vždy hrozí riziko zneužití nějakého dávno zapomenutého přístupu. Toto platí obecně – pokud komukoli přístup kamkoli povolíte a on to již k další práci nepotřebuje, tak přístup zrušte.

Zásada devátá
Důsledně oddělujte návštěvnické (tedy veřejně přístupné) a interní/​produkční části infrastruktury. Toto se netýká jen návštěvnické WiFi, ale jakékoli části infrastruktury, kam mohou volně přistupovat neznámé osoby. Hodně útoků na vnitřní infrastrukturu začíná návštěvou“ nezvaného hosta z veřejně přístupné části sítě.

Zásada desátá
Kyberzločinci se neustále zdokonalují a vymýšlejí nové způsoby, jak k vám a vašim kolegům a kolegyním dopravit škodlivý kód, proto nezaškodí je pravidelně o nových způsobech, jak se je někdo může snažit oblbnout“ (tedy přimět udělat něco, co k vám nákazu zavleče) informovat a na nová nebezpečí je upozorňovat. Určitě není od věci se jednou za čas zúčastnit nějaké zajímavé konference, která o těchto tématech hovoří, nebo se nechat vyškolit (opakovaně) od firem, které se na prevenci zaměřují. Určitě to nebude ztráta času ani peněz – mnohem více času a peněz byste museli vynaložit na odstraňování následků neuvážených činů neznalých zaměstnanců. Bohužel lidský prvek bude vždy tím nejslabším článkem řetězu kybernetické bezpečnosti, proto se vyplatí pravidelně zvyšovat povědomí o tom, co vše se může stát.

Zásada jedenáctá
Pokud vaši kolegové a kolegyně pracují ve vaši infrastruktuře na vlastních zařízeních (tzv. BYOD, Bring Your Own Device, česky Přines si své vlastní zařízení), tak je nutné počítat s tím, že budete muset všechny zde uvedené zásady aplikovat i na tato vlastní zařízení a to bývá dost velký problém. Jedním z možných řešení je umožnit těmto zařízením opět přístup jen do určeného segmentu infrastruktury a ten velice dobře zabezpečit a sledovat, což může být samozřejmě dost pracné.

Zásada dvanáctá
Když o něčem nevím, tak to nemohu řešit. Pokud tedy nemáte dostatečnou viditelnost do celé infrastruktury a nemáte možnost sledovat, co se v ní odehrává, je pro vás útočník neviditelný a vy jste (až do okamžiku, kdy se útok projeví plnou silou, tedy v případě ransomware zašifrováním dat) prakticky slepí. Proto je vhodné používat řešení NTA (Network Traffic Analysis, česky Analýza síťového provozu) jako je například naše řešení GREYCORTEX MENDEL. Tyto nástroje vám nejen umožní (až do nejmenších detailů) vidět, co se ve vaší infrastruktuře objevuje za zařízení a co se na nich odehrává, ale zároveň vám automatickou analýzou veškerého síťového provozu a korelací probíhajících událostí dá možnost být včas upozorněni na to, že se v infrastruktuře děje něco podivného a nekalého (pokud vás zajímá více podrobností, najdete je tady). A samozřejmě je důležité s těmito upozorněními potom dále pracovat a zajistit nápravu nalezených nedostatků, ale to už je nad rámec tohoto článku. Pokud sami nemáte interní oddělení, zabývající se kybernetickou bezpečností, můžete si dnes služby SOC (Security Operations Center, česky by se to dalo přeložit jako Bezpečnostní operační středisko) objednat třeba u některého z našich partnerů a nechat starosti na jejich bedrech. Řešení NTA oceníte zvláště v případech, kdy se útočníkovi podaří vyřadit z činnosti vaše antivirové řešení či projít přes váš firewall (například tím, že skryje nelegitimní, škodlivý, provoz do provozu legitimního a tím firewall oklame), protože projevy svého škodlivého chování před permanentní analýzou síťového provozu prostě neschová. A co víc — NTA řešení vám pomůže i s forenzní anlaýzou, tedy s následným vyšetřováním, odkud útok přišel či jak se nákaza do vaší infrastruktury dostala, čímž vám umožní odhalit a odstranit slabá místa v zabezpečení.

Ve zkratce — jaké jsou tedy hlavní přínosy našeho NTA produktu GREYCORTEX MENDEL ve vašem boji s kyberkriminálníky?

  • Je plně pasivní a analyzuje zrcadlo veškerého vašeho síťového provozu — tedy vidí vše, ale pro kyberkriminálníky je neviditelný, oni tedy nevědí, že o nich a jejich aktivitách víte.
  • Neposílá žádná data k analýze domů” (tedy k ruční analýze armádě analytiků), ale vše analyzuje sám za pomoci strojového učení a dalších pokročilých metod.
  • Narozdíl od nás lidí pracuje 24/7/365 (a o den navíc v přestupném roce!) a nikdy se neunaví.

Praktické ukázky toho, jak GREYCORTEX MENDEL pomáhá zvýšit kybernetickou bezpečnost najdete tady.

Zásada třináctá
Zálohujte, zálohujte a zase zálohujte! Ideálně zálohujte na výměnná média a odnášejte zálohy fyzicky mimo prostory vaší organizace (zajistíte tím kontinuitu i v případě požáru, potopy či mobilizace :-), ale hlavně tím zajistíte to, že v případě napadení ransomwarem nebudou zašifrovány i zálohy, které se nacházejí ve stejné infrastruktuře. Není-li z nějakého důvodu fyzické odnášení záloh možné či vhodné, zajistěte alespoň, aby servery se zálohami nebyly trvale připojeny k vaší infrastruktuře a nebyly tedy útočníkům přístupné v případě probíhajícího útoku – v opačném případě vám zašifrují i tyto zálohy a vy nebudete mít data odkud obnovovat.

A nakonec zásada poslední: Ani dodržování všech výše uvedených zásad vás nemusí stoprocentně ochránit před napadením vaší infrastruktury, protože dnešní kyberkriminálníci už nejsou žádní umaštění teenageři“, kteří si chtějí něco dokázat, ale profesionální skupiny s obrovskými rozpočty a možnostmi.
Ale pokud se budete všech výše uvedených zásad držet, tak jim jejich snahu o útok maximálně ztížíte, a protože i oni vědí, že vynaložené úsilí musí být menší než možný dosažený zisk (aby i jim jejich podnikání“ dávalo smysl), tak je vysoce pravděpodobné, že zaútočí spíše na někoho jiného, kdo jim díky nedodržování těchto zásad poskytne snadnější cíl.

Zajímá vás, jak vám může GREYCORTEX MENDEL pomoci zvýšit úroveň vaší kybernetické bezpečnosti a vyhrát válku s kyberkriminálníky? 
Podívejte se tady a můžete mi také napsat na LinkedIn či na email petr.chaloupka@greycortex.com.

peca

Petr Chaloupka

CEO, GREYCORTEX

05/14/2020 - 09:58

Kategorie

Štítky