Tři ukázky napadení IT s trojím ponaučením

První ukázkou napadení bylo nakažení firemní sítě malwarem (škodlivým softwarem). Ponaučením je, že firma musí mít nasazenou investigaci s možnou detekcí a přijmout opatření proti omezení nebezpečí dalšího útoku na minimum. Existují různé mechanismy, jak zabránit šíření malwaru za předpokladu, že máme visibilitu, tj. možnost zjištění, že malware v síti je. Dále je nutné poučit zaměstnance.

Druhou ukázkou byl průnik přes web – web defacement, kdy hacker umístí na web jiný obsah. Zde je ponaučením, že systém IDS/IPS (Intrusion Detection/Prevention System) byl (v ukázce) pouze v detekčním režimu (IDS), nikoliv ochranném (IPS), a také chyběl WAF (Web Application Firewall), který by útok zastavil. Také nebyl zajištěn bezpečný vývoj webu. To se dalo zjistit kontrolou HTML kódu, ve kterém nesmí být nic navíc. A bohužel bylo…

Třetí ukázkou byla kompromitace domény, kdy hacker napřed převzal přes lokální stanici se standardními právy uživatele na základě dávkového souboru .bat (batch), který spouští cyklické úlohy. Zjistil, že jej lze přepsat, a tím se dostal do celé sítě. Tak získal hash (hashdump), a pak už ani nemusel znát hesla. Tím se dostal do celé sítě, kterou převzal, a bylo „game over…“ Ponaučením je, že sice existují útoky, které neumíme přesně detekovat, avšak máme indikátory. Naučme se je vnímat, snížíme tím riziko. Zde bylo konkrétní chybou, že dávkový soubor byl založen pod administrátorským právem a mohl pod ním běžet. Mohl zde zafungovat skener zranitelnosti s analýzou práv. Proto by se také vůbec neměl používat ani doménový administrátor.

Pro identifikaci napadení je třeba zajistit některé základní schopnosti organizace:

• Mít visibilitu na útoky
• Zajistit rychlou reakci
• Zavést trvalé protiopatření
• Provést revizi technologií