 |
|
|
|
Давайте всё же до майских: что сисадмины и ИБ-специалисты должны сделать, чтобы “длинные” выходные не омрачились кибератаками
Давайте всё же до майских: что сисадмины и ИБ-специалисты должны сделать, чтобы “длинные” выходные не омрачились кибератакамиКаникулы, государственные праздники, любые “внеочередные” выходные дни — это повод для злоумышленников попытаться атаковать. Расчёт атакующих прост: чем меньше “защищающих” специалистов находятся на своих рабочих местах, тем выше шансы пробиться в периметр, закрепиться и нанести ущерб.
Поэтому в преддверии длинных выходных мы хотели бы напомнить о правилах, которым нужно следовать, и мерах, которые можно предпринять, чтобы существенно снизить риск серьезной кибератаки на ваш периметр, если не исключить его вовсе. Проведите инвентаризацию
Также на период праздников можно сделать недоступными часть таких приложений и\или сервисов, если отсутствует необходимость их использования на этот период. Сделайте бэкапы Регулярно делать бэкапы критичных систем – всегда хорошая идея. Резервные копии необходимо хранить таким способом, чтобы их нельзя было удалить при проведении той же самой атаки на инфраструктуру компании (один из самых частых случаев в нашей практике). Резервные копии лучше создавать по правилу 3-2-1. То есть не менее трех копий каждого файла – на двух разных типах носителей и одна копия данных – в удаленном месте. Лучше – без сетевой связанности с той инфраструктурой, данные из которой сохраняются в резервной копии. Кроме того, рекомендуем отказаться от доменной авторизации на серверах резервного копирования. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий. Если сервер виртуальный, он не должен находиться в одной системе виртуализации с системами, с которых делаются резервные копии, а доступ к гипервизору должен быть под особым контролем. Идеальный вариант – это когда все эти бэкапы хранятся без постоянной связности с основной сетью. Таким образом, даже если атакующие добьются успеха, из сохранившихся бэкапов можно относительно быстро вернуть в строй самые критичные серверы и сервисы компании. В прошлом году мы нередко видели, что, добравшись до виртуальной инфраструктуры, злоумышленники полностью уничтожали её и останавливали таким образом деятельность организации. Для атакующих это относительно лёгкая добыча, поскольку современные компании часто используют виртуализацию для размещения важных бизнес-приложений, но, к сожалению, редко заботятся о её устойчивости к внешним воздействиям. Установите патчи Если в организации нет устоявшегося процесс патч-менеджмента, то нужно установить патчи хотя бы для всех ключевых приложений. Особенно тех, что доступны извне. Конечно, сделать это лучше не в последний день перед началом каникул, а заранее – чтобы не наткнуться на проблемы, связанные с функционированием продуктов после применения патчей. Недавно мы сделали обзор обнаруженных в первом квартале уязвимостей в распространенных в корпоративных сетях приложениях. Мы проанализировали более 100 сообщений об уязвимостях и почти 80% из них имеют сетевой вектор, а 72% уязвимостей имеют уровень критичности High и Critical. Перед уходом на выходные убедитесь, что хотя бы эти уязвимости неактуальны для вашей инфраструктуры. Важно помнить, что патчи нужны не только для того, чтобы защитить внешний периметр, но и для затруднения или остановки развития атаки в момент, когда атакующие уже проникли внутрь защищаемого периметра. Классический пример – компрометация какого-нибудь забытого всеми старого корпоративного портала или тестовой инсталляции, компрометация которых позволяет получить доступ к новым сегментам инфраструктуры. Пароли и учетные записи Скомпрометированные логины и пароли часто используются злоумышленниками для проникновения в корпоративную сеть. Поэтому:
Оценка компрометации Конечно, за оставшееся до праздников время не удастся провести полноценную оценку компрометации инфраструктуры, но можно ограничиться базовым набором действий, которые можно проанализировать:
Назначьте ответственных В компании должны быть ответственные за реагирование на инциденты. Вовлеченные люди должны понимать свои роли и цели. Лучше всего иметь матрицу взаимодействий и описание шагов, которые нужно сделать оперативно в случае инцидента. Также необходимо, чтобы ответственные лица были доступны 24/7 и готовы к реагированию на инцидент даже в выходные дни. Позовите внешних специалистов по MDR Если же у компании нет собственных ресурсов для полноценного мониторинга и реагирования на инциденты, то можно рассмотреть помощь провайдеров услуг Managed Detection and Response. Конечно, за неделю или даже две до майских выходных такие задачи внедряются и развертываются тяжело, но, если озаботиться заранее, такой класс услуг позволит организовать круглосуточный мониторинг инфраструктуры. Это позволит избежать необратимых потерь в случае атак. Рекомендации подготовила команда Solar 4RAYS.
|
|
