Pokud jste IT administrátoři nebo podnikatelé, měli byste zbystřit a podívat se na dva úspěšné útoky roku 2017 – únik dat ze služby Uber a zvýšený výskyt ransomwaru.
Úniky dat ve velkém
V listopadu vyšlo najevo, že došlo k masivnímu úniku dat ve společnosti Uber. Uniklo celkem 57 milionů uživatelských účtů spolu se jmény, emaily a telefonními čísly. Z toho 7 milionů patřilo řidičům.
Vtipné je, že se incident stal v roce 2016 a Uber věřil, že vyplacením $100k odměny hackerům incident ututlá.
Je potřeba si uvědomit, že systémy nestačí nastavit a provozovat, musíte být schopni detekovat jejich zneužití. Nezapomínejte na externí systémy, na kterých je váš byznys závislý. Pokud byste se někdy ocitli v podobné situaci, položte si následující otázky.
Jak zmírnit dopad? Váš cíl je ochránit službu a její uživatele, musíte co nejrychleji zmírnit škody na obou stranách. Rozmyslete si správnou komunikační strategii a pracujte s fakty.
Jak k tomu došlo? Potřebuje postupně vysledovat, kdy a jak k incidentu došlo, abyste adekvátně reagovali. Útočníky musíte ze svého prostředí vymýtit. Analýza incidentu vám pomůže problém izolovat a zjistit bezpečnostní dopad.
Ransomware
Série ransomwaru NotPetya, WannaCry a Locky nemilosrdně šifrovala disky. Útočníci rádi poskytli potřebnou podporu, jak nakoupit bitcoiny a zaplatit.
Ransomware pro své šíření využívá více metod. Můžete dostat phisingový email, nebo používáte terminálovou službu (RDP) se slabými hesly. Posledním metodou úspěšného šíření je útok pomocí čerstvých zranitelností. V případě WannaCry se jednalo o slabinu ve službě sdílení (SMB), kterou Microsoft opravil v záplatě MS17-010.
Jak se můžete proti takovým útokům bránit?
Segmentace sítě
Ne vždy se útoku můžete vyhnout, musíte počítat s tím, že k nákaze dojde. Navrhněte správnou segmentaci vaší sítě. Můžete virtuálně segmentovat sítě LAN, nebo blokovat prostupy mezi sítěmi firewallem. Jde o to, aby se v případě incidentu nákaza nešířila mimo definované zóny. Nezapomeňte na sdílené složky a disky, které jsou mezi stanicemi a servery připojeny.
Antivir
Dnes už je antivirus s pravidelně aktualizovanou virovou databází nutnost. Dnešní antiviry mají webové štíty, kontrolují stažené soubory a reagují na nové hrozby do 14 dnů. V podnikovém prostředí potřebujete centrální antivirovou konzoli, abyste mohli sledovat aktivitu připojených agentů. Kromě nákazy sledujte události o vypnutí antiviru, které mohou prozradit přítomnost útočníka.
Bezpečnostní aktualizace
- Na stanicích nastavte automatické stahování aktualizací a jejich aplikaci.
- Na serveru aktualizace alespoň stahujte na disk a v pravidelných odstávkách aplikujte. Aktualizace mohou obsahovat chyby, proto se u kritických systémů nejdříve nasazují na testovací prostředí.
- Sledujte aktuální dění na Internetu. Pokud se objeví kritická zranitelnost, která umožňuje získat přístup vzdáleně bez přihlášení, většinou ji zaregistrujete. Prozkoumejte popis zranitelnosti, podmínky úspěšného útoku a doporučení vydavatele softwaru.
Politika zabezpečení serveru
Pro servery by měl existovat politika zabezpečení serveru (dokument), ideálně vynucený technickým nastavením přímo na serveru. Uživatelské účty na serverech musí mít silná a unikátní hesla. Doporučujeme použít správce hesel a vygenerovat si heslo s délkou dvanáct a více znaků.
Je-li server v Internetu, pro vzdálený přístup (RDP) povolte přístup jen na určitý rozsah zdrojových IP adres, zabráníte tak útočníkům ke službě přistupovat. Na další pravidla ohledně instalace softwaru a nastavení firewallu určitě přijdete sami.
Zálohování
Zálohování je vaše poslední záchrana. Pravidelně svoje data zálohujte a jednou za čas proveďte kontrolní obnovu. Otestujete si tak, že zálohování je správně nastaveno a personál je schopen data obnovit v definovaném čase.
Tímto se pomalu blížíme k závěru.
Závěr
Cílem příspěvku bylo spojit skutečné loňské události s bezpečnostními opatřeními. Vždy budou existovat hrozby a útoky na které se nepřipravíte. Pokud k něčemu dojde, každá dobře integrovaná ochrana vám zvětší manévrovací prostor.