Как да не повтаряте грешки в киберсигурността

Датата 12-ти май 2017 г. ще остане в съзнанието на много IT специалисти като един горчив професионален спомен. Точно в този небрежен петък около 230 000 Microsoft Windows компютърни системи в над 150 държави се оказаха жертва на мащабна кибератака с името WannaCry. Ползвателите на въпросните устройства с изненада установиха, че всичките им файлове са криптирани и им се иска откуп за “освобождаването” им – класически зловреден похват от ново поколение, наречен ransomware. Класически, защото напоследък това е хитът сред киберзаплахите, но това което ни изненада са мащабите, с който нещата се развиха и как големите организации не са се научили все още как да устояват и ограничават пораженията на такъв тип атаки. Целта на статията,  обаче не е да правим детайлен анализ “какво можеше да се направи” в минало време, а как да се подготвите за следващата вълна…

защото повярвайте, това е само началото. Всяка посредственост в защита на корпоративните или личните ви компютърни ресурси ще бъде сурово наказана.

Парафлоу Комуникейшънс като IT интегратор работи с компании, предлагащи решения за информационна сигурност, но по време на злощастния петък бяхме горди, че работим именно със Cisco Systems и помогнахме за защитата на клиентите ни.
Реакцията на Cisco e онагледена на следващата схема:

Защитните стени от ново поколение бяха подготвени за уязвимостта на SMB протокола на Microsoft Windows, която спомага за разпространението на зловредния код още на 14 март, а 2 часа след установяване на характеристиките на кибератаката дори можеха да спрат първоначалното инфектиране на компютърни системи чрез техники за сканиране на файлове, обменяни чрез уеб, мейл или друг трафик.

За да сте максимално подготвени за бъдещи кибератаки имаме следните препоръки:

  1. Винаги обновявайте операционните системи на сървърни и десктоп системи до възможно най-високото ниво. Повечето зловреден код се възползва именно от неоправени уязвимости в операционните системи или приложния софтуер. Знаем, че не винаги ъпдейт до последна версия е добра практика и може да наруши работоспособността на важни за организацията ви приложения, но контролирани ъпгрейди в тестова среда, анализ на поведението на приложенията и последващо ъпгрейд на продукционните системи е добрият и безопасен подход.
  2. Изградете схема за бекъп и архивиране на важните за вас данни, така че да знаете във всеки един момент, че имате сигурен вариант за връщане назад.
  3. Макар и вече остарял подход – имайте антивирусен софтуер по всички компютърни системи и го управлявайте централизирано, така че да може да следите обновяванията на всяка инсталация. Най-добре да го подкрепите с решение за endpoint security от ново поколение, което може да прави поведенчески анализ на случващото се, да праща за детайлен анализ в контролирана среда (sandboxing) съмнителни файлове и при евентуална зараза да може да се следи разпространението.
  4. Ако разчитате на стара защитна стена (без възможности за инспектиране на трафика и разпознаване на заплахи), то подменете я с такава от ново поколение. Киберпрестъпниците вече използват техники за маскиране на зловреден трафик в изглеждащ легитимно такъв и без детайлна инспекция на трафика не бихте могли да откриете заплахата.
  5. Контролирайте уеб и мейл трафика със специализирани решения! Тъй като това са най-често използваните услуги от крайните потребители – това са и най-използваните вектори за атака и заразяване на крайните компютърни системи. Важно е всяко посещение в Интернет страница да бъде контролирано, свалените файлове да бъдат проверявани за зловредност. Същото важи и за получените електронни писма – критично е прикачените файлове да бъдат анализирани и ако представляват заплаха да бъдат премахвани от писмата. Често текста в писмата е толкова примамващ, че дори запознати с рисковете потребители ги отварят и биват заразявани.
  6. Съхранявайте логове за трафици и събития в единна система – SIEM (Security Information and Event Management), така че тя да може да корелира събития между различните системи и да алармира при нетипични ситуации.
  7. Внедрете решение, с което може да се следи всяка комуникация в мрежата ви. Липсата на такава прави мрежата ви като черна кутия, в която не знаете какво се случва, а единствената информация, която имате е крайно непълна. Най-често решенията за целта са базирани на NetFlow протокол и могат освен да ви генерират пълен отчет за изградените сесии помежду системите в мрежата, а също така да засекат разпространение на зловреден код, изтичане на информация и други нерегламентирани действия.
  8. И не на последно място – отделете време и ресурси за обучаване на потребителите по отношение на заплахите и как да извършват безопасно ежедневните си задължения (т.нар security awareness training). Не подценявайте тази точка, защото потребителите са важна част от изграждането на защитена мрежа и колкото и сложни, надеждни и хвалени решения за сигурност да имате – общата сигурност се определя от най-слабото звено.

 

Ако сте домашен потребител или малка организация е ясно, че споменатите по-горе препоръки са неприложими поради нуждата от голяма финансова инвестиция. И все пак във вашия случай също може да се постигне високо ниво на защита със специалните SOHO/SMB серии устройства на повечето вендори или пък по-иновативното – cloud базирани решения. Освен тях

бъдете внимателни какво и от кой отваряте и не забравяйте винаги да имате резервно копие на външен носител на важните за вас данни!

 

Автор: Александър Василев
Network Engineer

 

 

3 thoughts on “Как да не повтаряте грешки в киберсигурността”

  1. А при условие, че WannaCry се разпространява вътрешно (зад защитната стена) как ще се защитим?
    Не е вариант за 30 потребителя да се изграждат велики вътрешни системи. Май е по-удачно ресурсите да бъдат насочени към обучение на тема информационна хигиена.

    1. Здравейте,
      абсолютно съм съгласен и съм отбелязал в текста, че за малки организации или домашни потребители по-голямата част от препоръките са неприложими заради необходимите ресурси. В този случай препоръчваме да са образовани потребителите по отношение на това как да са по-предпазливи и винаги да архивират важните за тях документи на външен носител.

      1. Здравейте,
        За по-малки фирми препоръчвам да използвате облачни решения, вместо да внедрявате велики вътрешни системи. Едно такова решение е Cisco Umbrella, Повече за самото решение можете да прочетете тук: https://umbrella.cisco.com/products/features.
        Ако ви е станало интересно, можете да изпробвате решението за 14 дни напълно безплатно, като се регистрирате тук: https://signup.umbrella.com/. След това можете да се свържете с нас, за да Ви изпратим предложение за да го използвате като годишен абонамент.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *