Desi exista o sumedie de categorii de atacuri informatice la care suntem vulnerabili si o gama variata de malware folosit ca mijloc de exploatare a vulnerabilitatilor, specialistii in domeniul securitatii au identificat tipare comune in ceea ce priveste tehnicile, tacticile si procedurile utilizate de gruparile criminale in diferitele stagii ale atacului. Aceasta observatie permite crearea unor masuri universale de contracarare a atacurilor care vizeaza infrastructura si angajatii unei organizatii.
Metoda ideala de preventie este de a stopa amenintarea inainte ca aceasta sa patrunda in interiorul retelei organizatiei. Mai jos sunt prezentate cateva masuri de securitate care pot fi luate pentru a reduce riscul de intruziune:
- Filtrarea traficului atat in directia inbound, cat si in directia outbound. Traficul inbound este inteles de la sine, nimeni din exterior nu trebuie sa poata initia conexiuni cu sisteme din interiorul organizatiei (cel putin nu fara o regula de acces explicita). Traficul outbound trebuie si el filtrat pentru ca de exemplu poate reprezenta o conexiune facuta de o statie compromisa cu un server de comanda si control de-al atacatorilor prin care se urmareste descarcarea de malware aditional. Filtrarea trebuie implementata pe toate echipamentele de perimetru: routere, firewall-uri, sisteme IDS/IPS.
- Blocarea site-urilor malitioase prin implementarea unor servere de proxy pentru traficul de tip HTTP/HTTPS (eventual cu inspectarea traficului web criptat) si folosirea unui serviciu de feed-uri de threat intelligence pentru mentinerea la zi a listelor de site-uri, domenii si adrese IP cunoscute ca surse de malware.
- Filtrarea traficului de email cu o solutie dedicata care sa poata opri mesajele de phishing si de spam, precum si mesajele cu fisiere malitoase. O solutie de sandboxing in care sa se “detoneze” atasamentele suspecte este si ea binevenita.
- Eliminarea serviciului de remote desktop. Multe organizatii folosesc ca metoda de acces de la distanta protocolul RDP activat pe sisteme expuse direct in Internet. Este ca si cum cineva ar avea un semn de “Bine ati venit. Poftiti la noi in retea.” RDP este unul dintre principalii vectori de atac folosit de hacker in compromiterea sistemelor. Este normal sa nu il folosim, dar daca este musai, atunci il ascundem in spatele unui firewall si permitem accesul doar printr-o conexiune VPN securizata.
- Implementarea autentificatii MFA/2FA. Folosirea unui al doilea parametru pentru confirmarea identitatii in procesul de autentificare, pe langa o parola puternica, poate fi suficienta pentru a face compromiterea contului unui utilizator imposibila. Mai mult, implementarea unei politici de lockout la incercari multiple esuate de autentificare permite si o auditare a accesului la o anumita resursa (nume user, locatie, timp, dispozitiv) care va ajuta departamentul IT in procesul de threat hunting.
- Aplicarea patch-urilor de securitate si a update-urilor de sistem intr-un interval de timp decent pentru a limita fereastra de tip in care un sistem prezinta o vulnerabilitate si acea vulnerabilitate poate fi exploatata pentru a castiga acces neautorizat la acel sistem. Apasarea butonului de “remind me later” nu ar trebui sa fie o optiune, chiar daca ne prinde in mijlocul redactarii unui raport important sau cand raspundem la un email. Remind me later este de obicei, pentru multi dintre noi, echivalent cu remind me never si nu facem decat sa ne expunem mai mult decat este cazul unui pericol, mai ales cand avem o rezolvare propusa de vendor (de exemplu, Microsoft ofera periodic patch-uri cumulative si are chiar si o zi numita Patch Tuesday, a doua marti din fiecare luna, in care listeaza vulnerabilitatile identificate si cum se pot rezolva).
- Protejarea statiilor cu o solutie de antivirus/antimalware/endpoint detection and response care sa ofere protectie impotriva malware-ului cunoscut, dar si in fata amenintarilor de tip “zero day” prin analizarea indicatorilor de compromis si a comportamentului sistemului (prin corelarea proceselor, aplicatiilor, sesiuni de retea si fisere deschise).
Specialistii Dendrio va pot ajuta cu un audit al infrastructurii organizatiei in urma caruia sa rezulte gradul de securitate existent si cu recomandari pentru intarirea posturii de securitate pentru a preintampina cele mai frecvente atacuri din industria in care activati.
Mihai Dumitrascu, Sr Systems Engineer