Doporučení FBI pro zvýšení bezpečnosti IT

ITBiz.cz , 04. leden 2017 13:00 3 komentářů
Doporučení FBI pro zvýšení bezpečnosti IT

FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.

Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?

  • I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.

  • S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.

  • K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.

  • Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.

Konkrétní tipy

  • Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker...

  • Software na straně klienta (prohlížeč, e-mailový program...) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.

  • Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné

  • Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)

  • Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)

  • Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD

  • Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)

  • Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba

  • Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik

  • Zvážit zavedení vícefaktorového ověřování

  • Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat

  • Zakázat volání potenciálně rizikových uložených SQL procedur

  • Provádět pravidelný audit logů transakcí i penetrační testy webových služeb

  • Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz

  • Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb

Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny...).

Viz také

USA zveřejnily podrobnosti o údajných ruských hackerských útocích

V energetické firmě v USA prý našli program ruských hackerů


Komentáře

Kolemjdouci #0
Kolemjdouci 04. leden 2017 14:27

"Zakázat Control Message Protocol (ICMP)" je obecne dost blby napad.

Michal Kubeček #1
Michal Kubeček 04. leden 2017 21:06

No jo, ale když to doporučuje FBI, tak na tom určitě něco bude. :-)

Michal Kubeček #2
Michal Kubeček 04. leden 2017 21:08

Ale měli by být důslednější. Když se zakáže Internet Protocol (IP), tak se útočníkům zkomplikuje život ještě mnohem víc...


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 1 komentářů

Průměrná rychlost mobilního internetu loni stoupla na 23,8 Mbit/s

ČTK , 18. leden 2017 07:00

Průměrná rychlost mobilního internetu v Česku se v loňském roce zvýšila o 39 procent na 23,8 Mbit/s....

Více 0 komentářů

Starší zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů