FBI a americké Ministerstvo vnitřní bezpečnosti vlastní publikovalo sadu bezpečnostních tipů. Stalo se tak v souvislosti s akcemi, za něž se odpovědnost připisuje Rusku. Příslušná doporučení tedy reagují na aktuální vývoj a techniky použité při posledních útocích, nicméně rozhodně nemusí představovat inspiraci pouze pro státní instituce nebo provozovatele kritické infrastruktury.
Pomineme-li např. konkrétní IP adresy či signatury související s analyzovanými útoky, co vyplývá z doporučení?
-
I činnosti, které vypadají jako legitimní, mohou být ve skutečnosti přípravou k průniku (třeba jde o skenování zranitelností); i zdánlivě nevinné požadavky z podezřelých zdrojů indikují tedy zvýšené riziko.
-
S doporučením nasazovat aktualizace/záplaty se lze setkat na každém kroku, nicméně i příslušná politika může mít různou podobu. Existují zde doporučené postupy (best practises); je třeba např. zajistit, aby se aktualizace stahovaly pouze z ověřených zdrojů.
-
K dalším doporučeným zásadám patří whitelist aplikací, omezení a rozdělení administrátorských oprávnění, dále pak segmentace sítě, včetně jejího rozdělení na zóny o různé úrovni bezpečnosti. Především u webových aplikací je nutné věnovat maximální pozornost kontrole vstupu. Využívat třeba systémy pro reputaci souborů, nastavit je na co nejpřísnější režim (spustit lze pouze soubory s nejvyšší reputací apod.). Totéž je pak vhodné i na úrovni firewallu – klidně nastavit whitelist i pro IP adresy, s nimiž je povolena komunikace.
-
Důležitý je scénář pro reakci na incidenty. Problém by mělo jít rychle když ne vyřešit, tedy alespoň identifikovat a izolovat. Roli zde hrají nástroje business continuity, možnosti zotavení systémů i schopnost obnovit data ze záloh. Všechny scénáře je třeba pravidelně testovat.
Konkrétní tipy
-
Zvýšit bezpečnost Windows pomocí dalších technologií Microsoftu: Enhanced Mitigation Experience Toolkit (EMET), Microsoft AppLocker…
-
Software na straně klienta (prohlížeč, e-mailový program…) by měl obsahovat a mít aktivovány nástroje proti phishingu, blacklist škodlivých domén apod.
-
Ani administrátoři by neměli pracovat pod administrátorským účtem, není-li to zrovna nutné
-
Zakázat Control Message Protocol (ICMP) a Simple Network Management Protocol (SNMP)
-
Na firewallu zakázat protokol RDP z vnější sítě, až na speciální případy (přístup přes virtuální privátní síť, nastavit pak pro něj nejnižší možná oprávnění)
-
Webové servery a aplikace by až na speciální případy měly zpracovávat pouze metody/požadavky GET, POST a HEAD
-
Webové servery by o sobě měly poskytovat minimum informací (jaký používají software, jaké verze…)
-
Taktéž hlášení o chybách by měla být co nejobecnější a neprozrazovat, co není třeba
-
Analyzovat neúspěšná přihlašování, mohou signalizovat pokus o průnik
-
Zvážit zavedení vícefaktorového ověřování
-
Je-li nutný vzdálený přístup mezi různými zónami, pečlivě ho monitorovat
-
Zakázat volání potenciálně rizikových uložených SQL procedur
-
Provádět pravidelný audit logů transakcí i penetrační testy webových služeb
-
Pravidelný audit pravidel firewallů, zakázat všechny porty, které nejsou nutné; pečlivě rozlišovat, zda se porty povolují pro příchozí nebo odchozí provoz
-
Neposkytovat informace o struktuře sítě, ale ani o struktuře samotné organizace, není-li to nutné vzhledem k povaze nabízených služeb
Potřebné nástroje a technologie mají správci podnikových sítí obvykle k dispozici, stačí je používat (Microsoft EMET, AppLocker, whitelisty, reputace souborů) a paranoidně konfigurovat (firewally, webové služby a servery, Zásady skupiny…).
Viz také
USA zveřejnily podrobnosti o údajných ruských hackerských útocích