O vorba din popor spune ca este mai bine sa previi decat sa tratezi. Desi zicala este specifica domeniului medical, ea poate fi aplicata in multe alte aspecte ale vietii, inclusiv in IT. Numarul atacurilor informatice creste de la an la an, si hackerii folosesc TTP-uri (tehnici, tactici si proceduri) din ce in ce mai avansate si mai camuflate care le permit sa stea ascunsi in interiorul retelei unei organizatii pentru multe luni de zile, timp in care isi pot indeplini nestingeriti obiectivele. Potrivit IBM, in 2021 timpul mediu de detectie al unei brese de securitate a fost de 212 zile ( cu un timp mediu de remediere de 75 de zile). Cu acest lucru in minte, organizatiile trebuie sa se gandeasca la ce masuri de protectie trebuie sa implementeze pentru a nu ajunge in situatia in care mai intai trebuie sa fie constienta ca a fost compromisa si mai apoi sa deruleze procesul de investigare si de remediere a bresei de securitate.
Cateva recomandari care ofera un grad ridicat de protectie cu minim de efort de implementare si rollout si costuri relativ reduse in comparatie cu riscurile unui atac de succes sunt:
- Oferirea unui program de „cybersecurity awareness” angajatilor care sa ii informeze pe acestia despre pericolele pe care le pot intalni la locul de munca (mailuri de phishing, atasamente suspecte, telefoane de la „suportul IT”) si cum ar trebui sa reactioneze atunci cand se confrunta cu o astfel de situatie. Dezvoltatea unei bune igiene personale in ceea ce priveste securitatea in online este un aspect cheie in securitatea organizatiei per ansamblu si angajatii care chiar reusesc sa faca acest lucru trebuie recompensati. 😊
- Implementarea unei solutii de autentificare de tipul MFA/2FA care sa solicite din partea utilizatorului un al doilea factor de confirmare a identitatii acestuia. Sistemele si aplicatiile critice ar trebui sa solicite din partea utilizatorului acest factor suplimentar la fiecare incercare de conectare pentru a combate situatiile in care credentialele utilizatorului sunt compromise.
- Segmentarea retelei este o alta masura de control usor de implementat pentru organizatie care are la baza chiar designul retelei. De exemplu, accesul la aplicatiile expuse in Internet trebuie sa se faca intr-un mod supravegheat, gazduind respectivele resurse intr-o zona separata a retelei cum ar fi o zona de tipul DMZ. Serverele interne critice nu trebuie sa sa fie accesibile din retele externe, cum ar fi din Internet, si nu ar trebui sa aiba configurate mecanisme de genul port forwarding pentru acces remote. In acest caz, utilizatorii ar trebui sa se foloseasca de o solutie de VPN, care sa foloseasca si ea autentificarea MFA.
- Colectarea logurilor atat la nivel de endpoint, cat si la nivel de retea intr-o locatie centralizata minimizeaza lipsa de vizibilitate atunci cand un atacator incearca sa isi ascunda urmele din sistem. Un alt avantaj al centralizarii logurilor este posibilitatea de a corela evenimentele din retea care va putea ajuta organizatia in procesul de „criminalistica” post incident de securitate si detectarea activitatilor neobisnuite / suspecte care pot indica primele etape ale unui atac in curs de desfasurare.
- Realizarea de backup-uri pentru fisierele importante si pentru sistemele vitale desfasurarii activitatii organizatiei. Atactorii vizeaza adesea infrastructura de backup pentru a impiedica organizatia sa isi poata reveni dupa un atac de succes si sa isi reia rapid activitatea. Backup-urile trebuie sa respecte regula 3-2-1: 3 copii ale datelor, pastrate pe 2 medii diferite (tape, ssd, cloud), 1 dintre copii fiind pastrata offline.
Acum luati-va un timp de reflectie si incercati sa va ganditi la masurile de securitate de mai sus, cate dintre ele sunt implementate in infrastructura IT a organizatiei dumneavoastra si ce alte masuri specifice puteti lua pentru a va intari postura in fata unor atacuri informatice.
Mihai Dumitrascu, Sr Systems Engineer