Doporučení FBI pro zvýšení bezpečnosti IT

ITBiz.cz , 04. leden 2017 13:00 3 komentářů
Doporučení FBI pro zvýšení bezpečnosti IT

FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.

Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?

  • I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.

  • S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.

  • K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.

  • Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.

Konkrétní tipy

  • Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker...

  • Software na straně klienta (prohlížeč, e-mailový program...) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.

  • Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné

  • Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)

  • Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)

  • Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD

  • Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)

  • Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba

  • Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik

  • Zvážit zavedení vícefaktorového ověřování

  • Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat

  • Zakázat volání potenciálně rizikových uložených SQL procedur

  • Provádět pravidelný audit logů transakcí i penetrační testy webových služeb

  • Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz

  • Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb

Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny...).

Viz také

USA zveřejnily podrobnosti o údajných ruských hackerských útocích

V energetické firmě v USA prý našli program ruských hackerů


Komentáře

Kolemjdouci #0
Kolemjdouci 04. leden 2017 14:27

"Zakázat Control Message Protocol (ICMP)" je obecne dost blby napad.

Michal Kubeček #1
Michal Kubeček 04. leden 2017 21:06

No jo, ale když to doporučuje FBI, tak na tom určitě něco bude. :-)

Michal Kubeček #2
Michal Kubeček 04. leden 2017 21:08

Ale měli by být důslednější. Když se zakáže Internet Protocol (IP), tak se útočníkům zkomplikuje život ještě mnohem víc...

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

Vloni bylo pravidelně na internetu 77 % Čechů

ITBiz.cz , 28. březen 2017 17:00

V roce 2016 používalo internet 6,7 miliónu obyvatel České republiky starších 16 let, tj. 76,5 %. Ve ...

Více 0 komentářů

Microsoft v Evropě investoval do datových center tři miliardy USD

ČTK , 28. březen 2017 15:30

Americká softwarová firma Microsoft investovala v Evropě do datových center a další infrastruktury, ...

Více 0 komentářů

T-Mobile od dubna nabídne nové neomezené tarify s více daty

ČTK , 28. březen 2017 13:24

Mobilní operátor T-Mobile od 2. dubna nabídne novou řadu neomezených tarifů se zvýšeným objemem dat....

Více 0 komentářů

Starší zprávičky

XS3200: nové úložné systémy SAN pro firmy

Pavel Houser , 28. březen 2017 13:00

Nová řada společnosti QSAN nabízí až 26 hotswap pozic SFF 2,5“ v 2U rack skříni....

Více 0 komentářů

Co Češi objednávají nejčastěji online

ITBiz.cz , 28. březen 2017 11:00

Oblečení, kosmetika a knihy. To jsou tři nejpopulárnější druhy zboží, jak je na internetu nakupují ž...

Více 0 komentářů

Brněnští vývojáři Konica Minolta testují metodiku scrum

Pavel Houser , 28. březen 2017 08:00

Moderní metodiky očekávají vysokou míru automatizace, která začíná už při psaní kódu....

Více 0 komentářů

Do Prahy dnes poprvé přijede šéf Microsoftu Satya Nadella

ČTK , 28. březen 2017 07:00

Nadella do české metropole přijede poprvé v roli výkonného ředitele firmy. ...

Více 0 komentářů