Как подготовить инфраструктуру к новогодним праздникам и усложнить киберпреступникам жизнь

Как подготовить инфраструктуру к новогодним праздникам и усложнить киберпреступникам жизнь

Новогодние праздники редко обходятся без киберинцидентов. Пока часть ИБ- и ИТ-команд в организациях отдыхает или работает удаленно и не может оперативно распознать признаки инцидента и вовремя отреагировать на него, злоумышленники почти беспрепятственно проникают в целевые инфраструктуры.

Чтобы минимизировать возможные последствия атак, а также не испортить себе новогоднее настроение, перед уходом на каникулы специалистам в компаниях важно позаботиться о ряде «гигиенических» мер, которые усложнят развитие кибератаки.

Проведите инвентаризацию

  1. Убедитесь, что вам хорошо известны все сегменты корпоративной сети и активы, расположенные в них. Эта рекомендация кажется очевидной, однако в одном из расследуемых нами инцидентов компанию скомпрометировали через сервер, на котором было развернуто уязвимое веб-приложение. Системные администраторы сообщили, что это “красная зона”. Так они называли группу серверов, о которых им мало что известно и другие пользователи в организации занимаются их самостоятельной настройкой и эксплуатацией.
  2. Просканируйте пул публичных адресов своей компании. Для этого вполне сгодятся популярные сервисы типа Censys, Shodan, Fofa. Продвинутые специалисты могут использовать и другие сканеры — те, что часто применяют команды по анализу защищенности или даже сами атакующие. Набор инструментов и сценарии их использования не являются большим секретом, и на просторах интернета эту информация можно найти.

    Это поможет понять, как ваша инфраструктура выглядит для внешних злоумышленников: какие приложения, сервисы и порты доступны извне. Возможно, некоторые из них подвержены уязвимостям! Это в том числе поможет определиться с системами, патчить которые нужно в первую очередь.

    Также на период праздников можно сделать недоступными часть таких приложений и сервисов, если отсутствует необходимость их использования на этот период.

Сделайте бэкапы

Если все пойдет по плохому сценарию и избежать инцидента не получится, то, чтобы смягчить последствия, можно и нужно сделать бэкапы критичных систем. Резервные копии необходимо хранить таким способом, чтобы их нельзя было удалить при проведении атаки на инфраструктуру компании (один из самых частых случаев в нашей практике).

Кроме того, рекомендуем отказаться от доменной авторизации на серверах резервного копирования. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий. Если сервер виртуальный, он не должен находиться в одной системе виртуализации с системами, с которых делаются резервные копии, а доступ к гипервизору должен быть под особым контролем.

Идеальный вариант – это когда все эти бэкапы хранятся без постоянной связности с основной сетью. Таким образом, даже если атакующие добьются успеха, из сохранившихся бэкапов можно относительно быстро вернуть в строй самые критичные серверы и сервисы компании.

Эффективный способ создания резервных копий по правилу 3-2-1. Оно расшифровывается так:

  • создавайте не менее трех копий каждого файла,
  • храните копии файлов как минимум на двух разных типах носителей
  • и одну копию данных храните в удаленном месте, на случай локального происшествия.

Установите патчи

Патч менеджмент — одно из основных направлений для обеспечения безопасности инфраструктуры компании. Однако если процесс не построен, то хорошей идеей будет установить патчи для всех ключевых приложений, особенное внимание уделяя публично доступным сервисам. Конечно, делать это следует не в последний день перед праздниками, чтобы не наткнуться на проблемы, связанные с функционированием продуктов после обновления.

Проконтролируйте пароли и учетные записи

Скомпрометированные логины и пароли часто используются злоумышленниками для проникновения в корпоративную сеть. Поэтому:

● Проведите аудит учетных записей, используемых в различных сервисах (RDP, VPN, другие), да и в целом в инфраструктуре, удалите неиспользуемые и ненужные аккаунты.

● Смените пароли от администраторских аккаунтов (а также проведите их аудит). Многофакторная аутентификация для таких аккаунтов при удаленном доступе особенно важна.

● Проведите аудит парольной политики и проверьте требования к сложности пароля, срокам его действия и исключите возможность сделать новый пароль идентичным старому. Минимальные требования к сложности пароля: сгенерированные случайным образом пароли длиной не менее 12 символов, состоящие из строчных и заглавных букв латинского алфавита, цифр и специальных символов. Все это может существенно затруднить атакующим получение учетных данных в инфраструктуре.

● Также эффективна инвентаризация учетных записей, созданных для подрядчиков. Если проведение работ на период праздников не планируется, то их можно временно отключить, что существенно повысит защищенность от атак через доверительные отношения. В целом хорошей практикой является активация или создание таких учетных записей только на период активной фазы подрядных работ.

● Убедитесь, что никакие (особенно важные) доступы (СХД, виртуализация, резервное копирование и т.д.) не хранятся в открытом виде в текстовых файлах и не сохранены в браузере. К сожалению, часто атакующие компрометируют машину привилегированного пользователя и без труда получают доступы к критичным системам, так как они были сохранены где-нибудь в браузере. Поэтому рекомендуется использовать парольные менеджеры, обновленные до последних версий.

● Закройте все активные сессии удаленного доступа по различным протоколам (например RDP-подключения, веб-приложения), если активное взаимодействие с системами уже не ведется. Компьютеры сотрудников, которые не будут работать все праздники лучше отключить, чтобы снизить возможную поверхность атаки.

Проведите оценку компрометации

Конечно, за оставшееся до праздников время не удастся провести полноценную оценку компрометации инфраструктуры, но можно ограничиться базовым набором действий, чтобы проанализировать:

● сработки имеющихся средств защиты: к сожалению, бывают случаи, когда СЗИ сигнализируют о вредоносной активности, но действий по установлению причин таких детектов от ИТ- и ИБ-специалистов не следует;

● критичные системы на предмет появления подозрительных файлов, создания системных служб, задач планировщика, новых пользователей, установки нового ПО (и для Linux и для Windows);

● входы на критичные системы, возможно, и здесь обнаружатся аномалии;

● списки активных процессов, активных сетевых соединений на предмет аномалий;

● системные журналы на предмет подозрительных аутентификаций на критичных системах;

● статистику на сетевом оборудовании (если это выполнимо): возможно, в нем будут обнаружены аномальные всплески по объемам передаваемого трафика и соединения с подозрительными доменами или IP-адресами.

Назначьте ответственных

В компании должны быть ответственные за реагирование на инциденты. Вовлеченные сотрудники должны понимать свои роли и цели. В компании должна быть матрица взаимодействий и описание шагов, которые нужно сделать оперативно в случае инцидента. Также необходимо, чтобы ответственные лица были доступны 24/7 и готовы к реагированию на инцидент. Да, даже в праздники.

Managed Detection and Response

Если же у компании нет собственных ресурсов для полноценного мониторинга и реагирования на инциденты (не только в праздники, но и в принципе в течение всего года), то можно обратить внимание на услуги сервис-провайдеров, которые предоставляют Managed Detection and Response. То есть готовую команду, которая будет проводить мониторинг и реагировать на инциденты. Конечно, за неделю до Нового года такие задачи внедряются и развертываются тяжело, но, если озаботиться заранее, такой класс услуг позволит организовать круглосуточный мониторинг инфраструктуры, что не приведет к необратимым потерям в случае атак.

Что делать после праздников?

Первое и главное, о чем стоит позаботится после каникул, – это убедиться, что принятые меры сработали. Для этого нужно повторить действия, описанные в части про оценку компрометации, чтобы убедиться, что злоумышленники не проникли в инфраструктуры и не затаились в ней. А лучше – пригласите для этой работы профессиональную команду сервис-провайдера.

11
Начать дискуссию