Doporučení FBI pro zvýšení bezpečnosti IT

ITBiz.cz , 04. leden 2017 13:00 3 komentářů
Doporučení FBI pro zvýšení bezpečnosti IT

FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.

Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?

  • I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.

  • S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.

  • K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.

  • Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.

Konkrétní tipy

  • Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker...

  • Software na straně klienta (prohlížeč, e-mailový program...) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.

  • Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné

  • Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)

  • Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)

  • Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD

  • Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)

  • Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba

  • Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik

  • Zvážit zavedení vícefaktorového ověřování

  • Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat

  • Zakázat volání potenciálně rizikových uložených SQL procedur

  • Provádět pravidelný audit logů transakcí i penetrační testy webových služeb

  • Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz

  • Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb

Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny...).

Viz také

USA zveřejnily podrobnosti o údajných ruských hackerských útocích

V energetické firmě v USA prý našli program ruských hackerů


Komentáře

Kolemjdouci #0
Kolemjdouci 04. leden 2017 14:27

"Zakázat Control Message Protocol (ICMP)" je obecne dost blby napad.

Michal Kubeček #1
Michal Kubeček 04. leden 2017 21:06

No jo, ale když to doporučuje FBI, tak na tom určitě něco bude. :-)

Michal Kubeček #2
Michal Kubeček 04. leden 2017 21:08

Ale měli by být důslednější. Když se zakáže Internet Protocol (IP), tak se útočníkům zkomplikuje život ještě mnohem víc...

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Závažná chyba v protokolu WPA2

ČTK , 17. říjen 2017 08:00

Odborníci z univerzity v belgické Lovani odhalili závažnou chybu ohrožující bezpečnost internetového...

Více 0 komentářů

Bělobrádek chce evropská pravidla pro internetová média

ČTK , 17. říjen 2017 00:55

Podle expertů na internetová média jde o předvolební proklamaci. ...

Více 0 komentářů

Mobilní signál bude i v tunelech pražského metra

ČTK , 16. říjen 2017 15:19

V první fázi by měl být signál na trase metra C mezi stanicemi Muzeum a Roztyly....

Více 0 komentářů

Starší zprávičky

Další velká pokuta pro Qualcomm, tentokrát na Tchaj-wanu

ČTK , 16. říjen 2017 13:10

Qualcomm čelí vyšetřování také v Evropské unii....

Více 0 komentářů

Vybudování infrastruktury na vysokorychlostní internet bude stát 120 až 150 miliard Kč

Pavel Houser , 16. říjen 2017 08:00

Firmy na jednání Hospodářské komory potvrdily, že mají zájem čerpat prostředky na výstavbu vysokoryc...

Více 0 komentářů

Qualcomm se žalobou snaží zakázat prodej iPhonů v Číně

ČTK , 14. říjen 2017 08:00

Obě firmy vedou právní spory kvůli licencím technologií firmy Qualcomm již měsíce....

Více 0 komentářů

Nové profese: manažer spolupráce a specialista sdílení technologií

Pavel Houser , 13. říjen 2017 13:35

Umělá inteligence mění trh práce. Zavádění robotické automatizace dává vzniknout zcela novým profesí...

Více 0 komentářů