Pripravili sme preventívne odporúčania týkajúce sa aktuálnych bezpečnostných hrozieb v kyberpriestore
1. 3. 2022
Pripravili sme preventívne odporúčania týkajúce sa aktuálnych bezpečnostných hrozieb v kyberpriestore

​​​​​​​V konflikte medzi Ruskou federáciou a Ukrajinou sa neangažujú len ozbrojené zložky štátov, ale vojna stále razantnejšie zasahuje aj do kyberpriestoru. Hackerské skupiny oboch strán začali masívne kybernetické útoky. Už teraz je zrejmé, že nebývalá miera agresie je zameraná aj na IT ciele v krajinách, ktoré sa na spore priamo nezúčastnia, vrátane Slovenskej republiky.

Útoky v súčasnosti smerujú na kritickú infraštruktúru predovšetkým v oblasti verejnej správy, vlády, energetiky alebo zdravotníctva, ale nedá sa vylúčiť napadnutie ani ďalších dôležitých segmentov. Ešte predtým, než sa na nás začali obracať naši zákazníci pre možné opatrenia, sme sa rozhodli na situáciu zareagovať.

V súčasnosti možno očakávať nasledujúce útoky:

  • formou techník sociálneho inžinierstva (phishing​, vishing, smishing),
  • za pomoci zneužitia uniknutých prihlasovacích údajov z iných služieb,
  • na dodávateľské služby,
  • útoky cielené na zneprístupnenie služieb (DDoS útoky).

V prípade väčšiny útokov je vstupným bodom používateľ, respektíve používateľské zariadenia. Naše návrhy, ako posilniť kybernetickú ochranu, preto rozdelíme na odporúčania smerované na bežných používateľov a na firemnú infraštruktúru a procesy.

V prípade používateľov odporúčame neodkladne začať aktivity v týchto oblastiach:

1. Vzdelávanie

  • Bez ohľadu na prebiehajúci konflikt je absolútne nevyhnutné systematicky zvyšovať odolnosť používateľov, a to predovšetkým v oblasti rozpoznávania phishingu, vishingu a smishingu.
  • Aktuality súvisiace s aktuálnou situáciou nájdete na našom blogu antivirus.cz​.
  • V tejto chvíli bezplatne uvoľňujeme jeden z našich kurzov Security Academy​ venujúci sa problematike phishingu:

2. Práca s heslami a všeobecne prihlasovacími údajmi

  • Podporujte používanie bezpečných hesiel (dĺžka aspoň 12 znakov, veľké aj malé písmená, číslice a špeciálne znaky). Heslá pravidelne obmieňajte, nečakajte až na okamih, keď dôjde k ich kompromitácii.
  • Používajte odlišné heslá pre rôzne účty (nemožno mať rovnaké heslo pre sociálne siete a do firemného prostredia).
  • Vo všetkých službách, kde je to možné, vám odporúčame okamžite aktivovať dvojfaktorovú autentizáciu (nemusí ísť len o služby vo firemnom prostredí, ale tiež o freemaily, sociálne siete, cloudové služby).
  • V tejto oblasti pre vás pripravujeme ďalšie spresnenia v podobe intenzívnejšej komunikácie.

3. Aktualizácia používateľských systémov

  • Práve teraz je najvhodnejší čas na aplikácie posledných verzií a patchov na všetkých používateľských zariadeniach, a to aj súkromných.
  • Vo všeobecnej rovine je dôležité udržiavať aktualizovaný operačný systém, ale aj jednotlivé aplikácie, ktoré sa používajú, a to tak na počítači, ako aj telefóne, tablete, wearables a pod.

4. Hlásenie bezpečnostných udalostí a incidentov

  • Používatelia musia presne vedieť, ako a kam hlásiť bezpečnostný incident a čo robiť do získania odozvy na svoje hlásenie.

Na úrovni firemnej infraštruktúry preventívne odporúčame:

1. V oblasti komunikačnej infraštruktúry

a. Zaistite blokáciu prichádzajúcej a odchádzajúcej komunikácie na základe geolokácie.

  • Preferujeme whitelistovanie oblastí, kde máte aktívnu klientelu, alebo
  • blacklistovanie oblastí, kde nemáte žiadne aktivity.

b. Nastavte striktnú antispamovú politiku.

  • Ak je to možné, whitelistujte domény, z ktorých chodí e-mailová komunikácia.
  • Aktivujte antispamové riešenie, ak je k dispozícii (napr. MS Intune).
  • Obmedzte príjem externých e-mailových správ z vlastnej domény.
  • Sledujte početnosť e-mailových správ; či nebola antispamová politika prekonaná a nedochádzalo k šíreniu phishingu v rámci internej siete.

(V prípade posledného bodu vám odporúčame nastaviť limit monitoringu z hľadiska početnosti pre bežné účty. Napríklad na maximum 5 adresátov v rámci jedného e-mailu, pre personálne a marketingové účty napríklad na maximum 20 adresátov v rámci jedného e-mailu. O tejto skutočnosti informujte používateľov.)

2. Monitorovanie a incident management

a. Zaistite zvýšenie vizibility v rámci celej infraštruktúry vrátane OT zariadení

(monitorovanie aktivít pomocou EDR na koncových staniciach, internet facing serveroch, kritických serveroch a pod.).

b. Zlepšite procesy pre rýchlu reakciu.

  • Ide predovšetkým o incident management procedúry pre zvládanie kybernetických incidentov v nadväznosti na hlásenie incidentov používateľmi.
  • Pomôžu vám tiež scenáre alebo checklisty, ako postupovať v prípade nahláseného incidentu v typických situáciách (na používateľskom zariadení, OT zariadení, tablete údržby a pod.).

3. Nastavenie viacfaktorovej autentizácie a conditional access

(v prípade O365 licencie Premium a vyššej je zadarmo ako súčasť licencie).

4. Riadenie zraniteľností

a. Neodkladne aplikujte všetky kritické patche.

b. Aktivujte patch management procedúry. Znovu zvážte všetky patche, ktoré neboli nasadené s tým, že ste sa v danom čase rozhodli akceptovať riziko. Stále to platí?

c. Aktívne sledujte zraniteľnosti v infraštruktúre a hardeninig jednotlivých platforiem podľa odporúčaní CIS (primárne pre internet facing servery).


Otázka vašej obrany proti DDoS útokom, teda útokom cieleným na zneprístupnenie služieb, je natoľko komplikovaná, že bude vo väčšine prípadov vyžadovať osobnú konzultáciu​. Na úrovni cloudových služieb existujú vhodné riešenia, v prípade on-prem infraštruktúry môže pomôcť globálny Load balancing alebo filtrácia prichádzajúcej komunikácie.



Pomoc Ukrajine


Zbierka nadácie Karel Komárek Family Foundation vznikla v reakcii na konkrétne potreby, ktoré vytypovali ukrajinskí spolupracovníci našej sesterskej spoločnosti MND, ktorá podniká v oblasti západnej Ukrajiny.

https://www.komarekfoundation.org/vize/pomoc-ukrajine


100 % sumy ide na priamu pomoc.

ĎAKUJEME!​


​​