Doporučení FBI pro zvýšení bezpečnosti IT

ITBiz.cz , 04. leden 2017 13:00 3 komentářů
Doporučení FBI pro zvýšení bezpečnosti IT

FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.

Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?

  • I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.

  • S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.

  • K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.

  • Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.

Konkrétní tipy

  • Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker...

  • Software na straně klienta (prohlížeč, e-mailový program...) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.

  • Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné

  • Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)

  • Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)

  • Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD

  • Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)

  • Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba

  • Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik

  • Zvážit zavedení vícefaktorového ověřování

  • Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat

  • Zakázat volání potenciálně rizikových uložených SQL procedur

  • Provádět pravidelný audit logů transakcí i penetrační testy webových služeb

  • Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz

  • Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb

Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny...).

Viz také

USA zveřejnily podrobnosti o údajných ruských hackerských útocích

V energetické firmě v USA prý našli program ruských hackerů


Komentáře

Kolemjdouci #0
Kolemjdouci 04. leden 2017 14:27

"Zakázat Control Message Protocol (ICMP)" je obecne dost blby napad.

Michal Kubeček #1
Michal Kubeček 04. leden 2017 21:06

No jo, ale když to doporučuje FBI, tak na tom určitě něco bude. :-)

Michal Kubeček #2
Michal Kubeček 04. leden 2017 21:08

Ale měli by být důslednější. Když se zakáže Internet Protocol (IP), tak se útočníkům zkomplikuje život ještě mnohem víc...

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů