fbpx

Tech

ohrožení bezpečnosti

Finančně motivované hrozby v čele s ransomwarem v roce 2020 dominovaly – přinášíme sérii ověřených tipů pro zvýšení úrovně zabezpečení

Rok 2020 přinesl významný nárůst v počtu úspěšných kybernetických útoků. Mnoho společností se setkalo s úplně novou zkušeností – jak zajistit bezpečný a vzdálený přístup do interních systémů, a to vše bez ohrožení stávající úrovně zabezpečení. Pracovníkům bezpečnosti se extrémně zvýšil objem práce, protože přesun lidí do online prostředí s sebou přináší i nárůst počtu realizovaných útoků.

CrowdStrike sesbíral data od svých interních odborníků, ze svých systémů, z náhledů a reakcí na incidenty, a vytvořil publikaci „CrowdStrike Services Cyber Front Lines“. Tyto výstupy jsou cenným pomocníkem pro analýzu zabezpečení ve společnostech všech velikostí a oborů působení.

Ransomware vede

V rámci útoků v minulém roce jednoznačně dominovaly ty finančně motivované, z nichž bezmála 81 % využívá nasazení ransomware.  Zbývajících 19 % zahrnovaly útoky na webové stránky společností ze segmentu e-commerce, kompromitaci firemních e-mailových účtů a těžbu kryptoměn.

Útokům pomocí ransomwaru se mimořádně dařilo realizovat zisk výkupného, následkem čehož byli útočníci schopni finanční prostředky využit i pro plánování stále sofistikovanějších formátů útoků, které běžná antivirová ochrana nedokáže odhalit. U bezmála 40 % incidentů vedených malwarem, zaznamenaných společností CrowdStrike, nezafungovala antivirová ochrana. U dalších 30 % incidentů se zjistilo, že nástroje na detekci a ochranu koncových bodů nebyly správně či dostatečně nakonfigurovány, popřípadě jejich funkce nebyla plně v souladu s operačním systémem. Na těchto datech vidíme, že v dnešní době se vyplatí do efektivního systému ochrany zahrnout antivirové řešení nové generace. Tato řešení využívají cloud pro škálovatelnost a jsou schopna díky funkcím strojového učení pro detekci škodlivého chování velmi efektivně odhalovat i pokročilé kybernetické hrozby.

Roste procento útoků, které nezachytí interní bezpečnostní politika

Při dalším pohledu do statistik CrowdStrike zjistíme, že konfigurace bezpečnostních nástrojů a zajištění jejich integrace je klíčem k odhalování sofistikovaných hrozeb. V roce 2020 bylo poprvé zaznamenáno bezmála 14 % zcelkového počtu útoků, kjejichž odhalení nedošlo na úrovni firemní interní bezpečnostní politiky, ale protože se jednalo o ransomware, došlo k odhalení až se samotnou úspěšnou realizací útoku.

„Pokud se zaměříme na samotnou analýzu kybernetického útoku, je důležité sledovat čas věnovaný na nápravu daného útoku. Vtéto souvislosti CrowdStrike doporučuje orientovat se podle pravidla „1-10-60“. Dané pravidlo nám říká, že vefektivním systému zabezpečení bychom měli být schopni detekovat danou hrozbu během minuty, následně provést její analýzu vrozmezí 10 minut a dalších 60 minut věnovat na odstranění hrozby a jejích následků. Zprůzkumu na trhu zabezpečení však víme, že jednotlivé kroky bezpečnostním týmům zabírají i desítky hodin,“ říká Michal Dolejší, System Engineer ve společnosti Veracomp s.r.o. Pro tyto účely uvedla společnost CrowdStrike na trh svůj systém Endpoint Recovery Services (ERS). Jeho hlavní přidanou hodnotou je fakt, že na rozdíl od standardních reakcí na incidenty se v první řadě nezaměřuje na pochopení aktivity útočníka, ale na rychlé odstranění malwaru, blokování škodlivé aktivity a uzavření děr, aby nedošlo k opětovnému útoku.

Přinášíme sérii typů pro zvýšení úrovně zabezpečení:

Na následujících řádcích se blíže zaměříme na to, jaké kroky by společnosti měly realizovat proto, aby si v letošním roce zajistily vyšší úroveň zabezpečení. Pro přehlednost jsou tato témata rozdělena do jednotlivých tematických bloků.

Zajištění vzdáleného pracovního prostředí

  • Zajistěte vizibilitu interního i cloudového prostředí, a zaměřte se na slepá místa a kriticky důležité aplikace, jejichž chod by měl být sledován v reálném čase.
  • Nepodceňujte ani webové a e-mailové servery, které jsou pro fungování firmy nezbytné.
  • U externě orientovaných systémů je dobré uzavírat nepotřebné porty a síťové služby skrze uplatňování přísných zásad na firewallu, včetně správného segmentování sítí.
  • Vytvořte si ovládací prvky Zero Trust pro kritické systémy a data. Zde se můžete zaměřit na privilegované účty a scénáře jejich rizikového chování, dále je vhodné spustit vícefaktorovou autentizaci pro vstup do systémů s daty citlivé povahy.

Efektivní ochrana před ransomwarem

  • Zaměřte se na kvalitní strategii zálohování. V rámci svého scénáře útoku se útočníci velmi často zaměřují na vymazání dostupných záloh proto, aby si zajistili lepší vyjednávací pozici. Do své strategie zálohování můžete zahrnout vícefaktorové ověření pro práci se zálohami nebo zálohování na více zdrojů, kdy vždy jedna verze bude umístěna úplně mimo server.
  • Implementujte ochranu pro koncové body. Výrazně vám pomůže, pokud se vaše ochrana nebude zaměřovat pouze na antivirovou a antimalwarovou ochranu, ale bude využívat nejmodernějších technologií strojového učení pro identifikaci anomálií a jejich eliminaci. Moderní bezpečnostní nástroje vám zajistí detekci hrozeb i prevenci.

Bezpečné využívání cloudu

  • Využívejte vizibilitu prostředí vreálném čase. 
  • Správná konfigurace je základním kamenem bezpečného cloudového prostředí. Nastavte si šablony pro jednotlivé úrovně a typy účtů, eliminujete tak lidskou chybu během tvorby nových účtů a přiřazování rolí.

Aplikace a služby

  • Mějte přehled o všech externích aplikacích a službách se vzdáleným přístupem.
  • Sledujte vydávané opravné verze od tvůrců aplikací a zajistěte jejich instalaci.
  • Provádějte penetrační testy na pravidelné bázi.
  • Implementujte vícefaktorové ověření pro aplikace typu RDP a VPN.

Soulad s legislativními nároky

  • Provádějte pravidelnou inventarizaci IT infrastruktury a konzistentní management zranitelností. Pro útočníky je pak složitější realizovat tzv. “Initial Access” v rámci útoku. Vyplatí se i vytvoření pohotovostních plánů pro aplikace, které není možné okamžitě záplatovat, jako například zvýšený monitoring, omezení přístupů a zálohování. Sníží se tím riziko v situacích, kdy záplaty pro aplikace ještě nejsou dostupné.
  • Nepodceňujte cloudové prostředí. Mějte strategii pro řízení bezpečnosti v cloudu, která bude reflektovat i neustále se měnící prostředí hrozeb. Například s pomocí CrowdStrike Falcon Horizon CSPM (Cloud Security Posture Management) můžete nejen identifikovat hrozby v ochraně a protokolování, ale i spravovat zabezpečení jednotlivých cloudových úloh.

Poučte se zchyb a buďte připraveni

  • Soustřeďte se na rychlé „zotavení“ zútoku. Zde je vhodné využít případně i pomoc třetích stran – například CrowdStrike Endpoint Recovery Services. ERS může zkrátit fáze omezení, nápravy a obnovy incidentu pomocí efektivnějších pracovních postupů. Díky tomu jsou podniky schopny se velmi rychle a efektivně vrátit k práci, a zmírnit tak dopady celého incidentu.
  • Zaměřte se na celý životní cyklus incidentu a jeho analýzu. Díky tomu přesně zjistíte, jaké kroky proběhly dobře, a které naopak ne, a proč tomu tak bylo. Právě analýza vám pomůže v upravení vašich procesů a nastavení.
  • Plánujte vylepšení a buďte na příště lépe připraveni. Stanovte si projektový plán kroků, které reflektují poznatky z posledního incidentu a analýzy reakcí na ně. Nezapomeňte jasně definovat prioritní oblasti a zodpovědnosti.

Kvalitní systém zabezpečení je založen na dobré infrastruktuře, analýze slabých míst, a včasné implementaci změn. Každé narušení nebo pokus o narušení bezpečnosti berte jako příležitost pro vylepšení stávajícího systému detekce a reakce na hrozby. V následujících měsících bude i nadále růst využití cloudových služeb, které jsou pro mnoho organizací klíčové. Z tohoto důvodu je dobré se na danou oblasti zaměřit i v otázce včasné detekce a reakce na hrozby. Nebojte se využít moderních nástrojů využívajících strojové učení, které vám mohou zjednodušit detekci anomálií a hrozeb. Protože v otázce bezpečnosti bude i v roce 2021 platit, že klíčová je především schopnost rychlé reakce.

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?