Doporučení FBI pro zvýšení bezpečnosti IT

ITBiz.cz , 04. leden 2017 13:00 3 komentářů
Doporučení FBI pro zvýšení bezpečnosti IT

FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.

Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?

  • I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.

  • S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.

  • K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.

  • Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.

Konkrétní tipy

  • Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker...

  • Software na straně klienta (prohlížeč, e-mailový program...) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.

  • Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné

  • Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)

  • Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)

  • Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD

  • Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)

  • Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba

  • Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik

  • Zvážit zavedení vícefaktorového ověřování

  • Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat

  • Zakázat volání potenciálně rizikových uložených SQL procedur

  • Provádět pravidelný audit logů transakcí i penetrační testy webových služeb

  • Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz

  • Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb

Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny...).

Viz také

USA zveřejnily podrobnosti o údajných ruských hackerských útocích

V energetické firmě v USA prý našli program ruských hackerů


Komentáře

Kolemjdouci #0
Kolemjdouci 04. leden 2017 14:27

"Zakázat Control Message Protocol (ICMP)" je obecne dost blby napad.

Michal Kubeček #1
Michal Kubeček 04. leden 2017 21:06

No jo, ale když to doporučuje FBI, tak na tom určitě něco bude. :-)

Michal Kubeček #2
Michal Kubeček 04. leden 2017 21:08

Ale měli by být důslednější. Když se zakáže Internet Protocol (IP), tak se útočníkům zkomplikuje život ještě mnohem víc...

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

O2 zvýšila do března čistý zisk o tři procenta na 1,29 miliardy

ČTK , 30. duben 2017 12:00

Operátor O2 zvýšil v prvním čtvrtletí zisk o tři procenta na 1,29 miliardy korun. Konsolidované výno...

Více 0 komentářů

Amazon za čtvrtletí zvýšil tržby i zisk

ČTK , 30. duben 2017 09:00

Čtvrtletní zisk a tržby amerického internetového obchodu Amazon překonaly očekávání. Zisk v prvním k...

Více 0 komentářů

Nintendo hlásí prudký růst tržeb, pomohla nová konzole Switch

ČTK , 29. duben 2017 16:00

Čtvrtletní tržby japonského výrobce videoher Nintendo se díky silné poptávce po nové herní konzoli S...

Více 0 komentářů

Starší zprávičky

Turecko na internetu zablokovalo přístup k Wikipedii

ČTK , 29. duben 2017 13:49

Turecko zablokovalo přístup k Wikipedii - volně přístupné encyklopedii na internetu. Důvodem je obsa...

Více 0 komentářů

Čtvrtletní zisk Microsoftu dík cloudovým službám vzrostl o 28 pct

ČTK , 29. duben 2017 10:00

Čistý zisk amerického softwarového gigantu Microsoft ve třetím čtvrtletí finančního roku meziročně s...

Více 0 komentářů

Čtvrtletní zisk a tržby majitele Googlu výrazně vzrostly

ČTK , 28. duben 2017 15:00

Čistý zisk americké společnosti Alphabet, která je majitelem internetového gigantu Google, v prvním ...

Více 0 komentářů

Bývalí manažeři Olympusu mají zaplatit miliardy za účetní podvod

ČTK , 28. duben 2017 14:00

Skupina bývalých vedoucích pracovníků japonské společnosti Olympus musí firmě zaplatit odškodné 58,8...

Více 0 komentářů