• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Účinná ochrana proti útokům?

Richard Jan Voigts
16. 2. 2021
| Články
Účinná ochrana proti útokům?

Zdroj: Pixabay

Nedávno zde vyšel článek Sophos vysledoval Nefilim a další ransomwarové útoky až k uživatelským účtům „duchů“, proto jsme se zeptali, jak se co nejúčinněji bránit. Opět odpovídal Chester Wisniewksi, Principal Research Scientist společnosti Sophos, který nám už dříve sdělil bez obalu svůj názor na to, že PayPal začal přijímat kryptoměny. Podle něj má jít vždy o správnou kombinaci investic do lidí, školení a nástrojů, podle starého známého pravidla „lidé, procesy, technologie“.

Co pomáhá zastavit ransomware?

Chester Wisniewski, Sophos Principal Research Scientist
Chester Wisniewski, Sophos Principal Research Scientist

Bavíme-li se o účinné ochranně proti ransomwaru, můžeme uvést pět klíčových zásahů, které mohou organizace udělat pro lepší ochranu před útoky ransomwaru:

  1. Udržujte IT hygienu. Ujistěte se, že dodržujete základní IT hygienu, která zahrnuje instalaci všech nejnovějších oprav softwaru, úplné vypnutí RDP (nebo jeho přesunutí za VPN) a pravidelné zálohování a udržování těchto záloh mimo pracoviště, kde se k nim útočníci nemohou dostat. Dostatečná IT hygiena zahrnuje i použití vícefaktorové autentizace ke službám hostujícím nejcitlivější data v organizaci. To je ale jen několik základních kroků, které můžete ke své vlastní ochraně a ochraně vaší sítě podniknout ještě dnes.
  2. Vzdělávejte uživatele. Poučte zaměstnance a ostatní uživatele o důležitosti silných hesel a zaveďte dvoufaktorovou autentizaci všude, kde je to možné. Vzdělávejte je ohledně phishingu, který je jedním z hlavních mechanismů distribuce ransomwaru.
  3. Minimalizujte riziko úhybných manévrů ve vaší síti. Rozdělte vaše sítě LAN do menších, izolovaných zón nebo VLAN, které budou zabezpečené a připojené prostřednictvím firewallu. Nezapomeňte použít vhodné zásady IPS (Intrusion Prevention System, systém pro detekci a prevenci průniku) a pravidla upravující provoz procházející těmito segmenty LAN, aby se zabránilo šíření exploitů, červů a botů mezi segmenty LAN. A pokud už infekce udeří, automaticky izolujte infikované systémy, dokud je nebude možné vyčistit.
  4. Společně s ochranou koncových bodů používejte nástroje typu endpoint detection and response (EDR). Cílený ransomware dnes není jen o zastavení jednoho malwaru; jde o zastavení aktivního protivníka a narušení řetězce útoku, který jej staví do pozice pro spuštění malwaru. Ujistěte se, že bude každý koncový bod chráněn a aktualizován. Zařízení, které nefunguje správně, nemusí být chráněno a může být zranitelné vůči útoku ransomwaru. Používejte nástroje jako EDR, které vám umožňují klást podrobné otázky, abyste mohli hledat aktivní protivníky a identifikovat pokročilé hrozby ve vaší síti. Jakmile tak učiníte, EDR vám také pomůže rychle přijmout vhodná opatření k zastavení těchto hrozeb.
  5. Vyplňte mezery zásahem člověka. Počítače, automatizace a další nástroje jsou sice úžasné, ale lidský intelekt, schopnost rozpoznávání vzorců a aplikace kontextu poskytují ještě impozantnější obranu. Kriticky důležité jsou proto služby řízené detekce a reakce (Managed Detection and Response, MDR). Spárování vašich interních IT a bezpečnostních týmů s externím týmem elitních lovců hrozeb a odborníků na odezvu vám pomůže získat užitečné rady pro řešení hlavních příčin opakujících se incidentů.

Čemu by mělo podnikové IT oddělení věnovat pozornost, čeho by se mělo rozhodně vyvarovat a co by měli dodržovat zaměstnanci?

Kdykoli pracujeme s oběťmi ransomwaru, věnujeme čas i ohlédnutím se za našimi telemetrickými záznamy, které pokrývají předchozí týden nebo dva. Tyto záznamy někdy obsahují anomálie chování, které samy o sobě nemusejí být ze své podstaty škodlivé, ale v kontextu již provedeného útoku by mohly být brány jako včasný indikátor toho, že aktér hrozby provádí operace v síti oběti.

Zejména pokud vidíme některý z pěti indikátorů uvedených níže, okamžitě začneme jednat. Kterýkoli z nich, nalezený během vyšetřování, je téměř jistě známkou toho, že se zde vyskytovali útočníci – aby získali představu o tom, jak síť vypadá, a zjistili, jak mohou získat účty a přístupy, které potřebují k zahájení ransomwarového útoku.

Útočníci používají k přípravě prostředí pro ransomwarové útoky legitimní administrační nástroje. Když nebudeme vědět, jaké nástroje správci na svých počítačích běžně používají, lze tato data snadno přehlédnout. Při zpětném pohledu představuje těchto dalších pět indikátorů varovné signály při vyšetřování:

  1. Síťový skener, zejména na serveru

Útočníci obvykle začínají získáním přístupu k jednomu počítači, kde hledají informace – zda jde o Mac nebo Windows, jaká je doména a název společnosti, jaký druh administrátorských práv počítač má atd. Útočníci budou chtít také vědět, co dalšího se v síti nachází a k čemu mohou získat přístup. Nejjednodušší způsob, jak to zjistit, je skenování sítě. Pokud zjistíte síťový skener, například AngryIP nebo Advanced Port Scanner, zeptejte na to administrátorů. Pokud nikdo použití skeneru nepotvrdí, je na čase začít pátrat.

  1. Nástroje na deaktivaci antivirového softwaru

Jakmile mají útočníci oprávnění správce, často se pokusí deaktivovat bezpečnostní software pomocí aplikací vytvořených na pomoc s nuceným odstraněním programů, jako jsou Process Hacker, IOBit Uninstaller, GMER a PC Hunter. Tyto typy komerčních nástrojů jsou legitimní, ale nesmějí se dostat do špatných rukou. Bezpečnostní týmy a administrátoři by se měli ptát, proč se tak najednou objevily. 

  1. Přítomnost softwaru MimiKatz

Jakákoli detekce softwaru MimiKatz kdekoli v síti by se měla prošetřit. Pokud nikdo z týmu administrátorů nemůže ručit za používání softwaru MimiKatz, jde o výstražný signál, protože je to jeden z nejčastěji používaných hackerských nástrojů na krádeže přihlašovacích údajů. Útočníci také používají Microsoft Process Explorer, který je součástí Windows Sysinternals, což je opět legitimní nástroj, který zase umožňuje výpis souboru LSASS.exe z paměti a vytvoření souboru .dmp. Ten pak mohou útočníci přenést do svého vlastního prostředí a použít MimiKatz na bezpečné extrahování uživatelských jmen a hesel na svém vlastním testovacím stroji.

  1. Vzorce podezřelého chování

Jakákoli detekce probíhající každý den ve stejnou dobu nebo v opakujícím se vzoru je často známkou toho, že se děje něco jiného, ​​i když byly škodlivé soubory detekovány a odstraněny. Bezpečnostní týmy by se měly ptát „proč se stále vrací?“ Experti na reakci na incidenty vědí, že to obvykle znamená, že se vyskytlo něco jiného škodlivého, co (zatím) nebylo identifikováno. 

  1. Testovací útoky

Útočníci příležitostně provádějí malé testovací útoky na několik počítačů, aby zjistili, zda bude mít jejich metoda průniku a provedení ransomwarového útoku úspěch, nebo jestli je zastaví bezpečnostní software. Pokud bezpečnostní nástroje útok zastaví, změní svou taktiku a zkusí to znovu. Zároveň tím ale útočníci odkryjí své karty a budou vědět, že už mají jen omezený čas. Je často otázkou několika hodin, než bude zahájen mnohem rozsáhlejší útok.

Vypadá to, že ransomwarové útoky už několik let dominují hackerské scéně. Čím to je, že ransomware není jen výstřelek?

Je tomu skutečně tak. Už 5. září 2013 jsme zaznamenali zrod moderního ransomwaru. Označuji ten den za zlomový, protože jsme mohli vidět první vzorek CryptoLockeru. Mohlo by se zdát, že za více než sedm let bychom měli umět útočníky lépe odrazovat od tohoto typu online zločinu. Ale, stejně jako téměř všechno v oblasti informační bezpečnosti, je i ransomware komplikovaný a jeho útoky jsou stále složitější, zejména za posledních deset měsíců.

Tohle je válka, ne bitva. Abyste si udrželi náskok, musíte být ostražití a mít správné lidi, správná školení a správné nástroje. Časy, kdy na vaše koncové body stačilo instalovat bezpečnostní software a bylo hotovo, jsou dávno pryč.

Zločinci hybridizovali své útoky kombinací automatizace a lidí, aby našli oběti s mezerou v obraně, a aby kreativně využili stávající nástroje z vlastních sítí obětí proti nim samotným. Tento obchodní model jim může na každé z obětí vydělat miliony dolarů a způsobit další nespočetné škody.

Naše obrana musí aplikovat stejný přístup. Počítače, automatizace a nástroje jsou úžasné, ale až v kombinaci s lidským intelektem, rozpoznáváním vzorců a naší schopností extrapolovat na základě minulosti do budoucnosti poskytují působivou obranu. Ti, kteří se úspěšně brání, mají téměř vždy správnou kombinaci investic do lidí, školení a nástrojů.

Rubriky: InternetPodnikový softwareSecurity

Související příspěvky

Zprávičky

Na dobudování rychlého internetu musí stát dát 11,5 miliardy Kč

2. 3. 2021
Red Hat v nejnovější verzi OpenShiftu vylepšuje Kubernetes
Články

Red Hat v nejnovější verzi OpenShiftu vylepšuje Kubernetes

2. 3. 2021
Podniky v cloudu stále častěji provozují i úložiště
Články

Podniky v cloudu stále častěji provozují i úložiště

2. 3. 2021
Zprávičky

Globální vývoj kybernetických hrozeb za Q4: Útočníci používají nové postupy, jak vydírat napadané firmy

1. 3. 2021

Napsat komentář Zrušit odpověď na komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

Samsung v USA vybírá místo pro závod na čipy za 17 miliard USD

ČTK
3. 3. 2021

Nový závod bude vyrábět pokročilá logická zařízení. Jihokorejský výrobce elektroniky Samsung ve Spojených státech

Infineon automobilkám radí, ať si změní dodavatelský řetězec

ČTK
3. 3. 2021

Výrobci čipů upřednostňují producenty spotřební elektroniky před automobilkami. Největší evropský výrobce čipů Infineon automobilkám

Rohlik Group získala od investorů 5 mld. Kč za minoritní podíly

ČTK
2. 3. 2021

On-line prodejce potravin Rohlik Group získal od investorů 190 milionů eur (asi pět miliard

PPF Telecom loni zvýšila zisk o 16 % na 432 milionů eur

ČTK
2. 3. 2021

Došlo k úspěšnému nákupu spektra pro sítě 5G v Česku, Maďarsku a na Slovensku.

Na dobudování rychlého internetu musí stát dát 11,5 miliardy Kč

ČTK
2. 3. 2021

Podle materiálu ministerstva průmyslu a obchodu zbývá asi 470 000 bytů. Na rozšíření sítě

Obrana hledá, kdo pro ni vyvine experimentální družici

ČTK
2. 3. 2021

Ministerstvo obrany hledá, kdo vyvine experimentální družici pro plánovaný národní satelitní systém. Vítěz vypsaného

Datový provoz v mobilních sítích loni vzrostl o 71 %

ČTK
2. 3. 2021

Objem přenesených dat v tuzemských mobilních sítích se loni zvýšil o 66 až 71

ČTÚ spustil srovnávač cen telekomunikací

Pavel Houser
1. 3. 2021

ČTÚ dnes spustil srovnávací nástroj cen a kvality služeb elektronických komunikací. Spotřebitel může porovnat

Globální vývoj kybernetických hrozeb za Q4: Útočníci používají nové postupy, jak vydírat napadané firmy

Pavel Houser
1. 3. 2021

Print bombing: všechny dostupné tiskárny v síti oběti začnou tisknout žádost o výkupné. Bezpečnostní

Tiskové zprávy

Do boje proti pandemii se přidává stále více firem

Studie IBM: klíčem k prosperitě po odeznění pandemie budou umělá inteligence a nové technologie

Zatím nejrychlejší tiskárna imagePROGRAF

OnRobot uvádí na trh nejvýkonnější elektrický podtlakový uchopovač pro náročné paletizační aplikace

Společnost Epson získala ocenění BLI Winter 2021 Pick a Keypoint Intelligence

Acer upgraduje oficiální počítače a monitory Predator IEM

Zpráva dne

Levnější software k Valentýnu? Proč ne

Levnější software k Valentýnu? Proč ne

Redakce
14. 2. 2021

Prodejní portál GoodOffer24.com nabízí další várku levnějšího softwaru kancelářské produktivity, tentokrát k Valentýnu. Dnes je...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Lidé spolu s chatboty rádi klamou

Pavel Houser
1. 2. 2021

Pokud lidé nejednají přímo, ale nechají se nějak zastupovat chatbotem, mají mnohem menší problém uchylovat se...

Nadcházející akce

  1. Hannover Messe Digital Edition 2021

    12. dubna - 16. dubna

Zobrazit všechny Akce

Slovník

Informační systém

Ručitel

MeeGo

Nejpopulárnější články

Účinná ochrana proti útokům?

Účinná ochrana proti útokům?

Richard Jan Voigts
16. 2. 2021

Komerční banka hlásí výpadek poboček a internetového bankovnictví

Jiří Kocourek
30. 7. 2008

Padla další rekordní pokuta za porušení GDPR

Padla další rekordní pokuta za porušení GDPR

Redakce
7. 2. 2021

Adobe Reader 8 k dispozici

Filip Molčan
8. 12. 2006

Skupina Lazarus se nově soustředí na obranný průmysl, malware dokáže proniknout i do odpojených sítí

Pavel Houser
1. 3. 2021

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Marketing Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zajímavosti Zpráva dne České IT

RSS abclinuxu – čerstvé zprávičky

  • Steam Link nově také pro Linux
  • openSUSE Leap 15.3 Beta
  • Zabbix webináre

RSS Sciencemag.cz

  • Sépie zvládají test odloženého uspokojení
  • Na noční obloze svítí zvířetníkové světlo
  • Střevní mikrobiom může i za spánek

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.