Otázku kybernetické bezpečnosti řeší každá instituce, která pracuje s citlivými daty. Zabezpečit síť tak, aby nedocházelo k únikům informací, není jednoduchý úkol. V dnešním článku navážeme na téma bezpečnostních doporučení pro infrastruktury a představíme si opatření doporučená pro stanice a servery.
Americký Národní úřad pro letectví a kosmonautiku (NASA) zažil v dubnu 2018 kybernetický útok. Zařízení Raspberry Pi, které útočník použil k infiltraci, nebylo pro připojení do sítě schváleno a neprošlo kontrolou zabezpečení. Trvalo téměř rok, než jej objevili. NASA tak uniklo 500 MB dat souvisejících s misí na Mars. Jak tedy zabránit podobným situacím?
Udržujte aktuální operační systém a software
Pravidelnými aktualizacemi a v co nejkratší době aplikujte všechny vydané bezpečnostní záplaty. Měli byste si být vždy jistí, že je verze vašeho operačního systému aktuální. Pravidelně kontrolujte také aktuálnost verze instalovaného softwaru a provádějte update. Zastaralé mohou být i verze použitých doplňků, modulů nebo firmware zařízení. Vyvarujte se také používání nepodporovaných produktů.
Ověřujte identitu aplikací a souborů
Povolte jen důvěryhodné aplikace a soubory, a to včetně skriptů a DLL knihoven. V prostředí Windows použijte Device Guard, AppLocker, popřípadě Zásady omezení softwaru (SRP).
Používejte obecné preventivní mechanismy
Mohou pomoci ochránit systém před zero-day zranitelnostmi, jako např. DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization) nebo SELinux v linuxových systémech.
Aktivujte IDS/IPS systémy na koncových stanicích
IDS/IPS systémy detekují anomální chování jako například injekci kódu do jiných procesů, změnu chráněných registrových klíčů, zachytávání stisků kláves, načítání neznámých ovladačů, snahu o zajištění perzistence a další.
Zajistěte centralizovaný systém logování událostí na stanicích a serverech
Centralizujte systém logování úspěšných a neúspěšných událostí, který bude časově synchronizován napříč sítí a bude logy okamžitě automaticky vyhodnocovat. Doporučujeme logy událostí ukládat po dobu minimálně 18 měsíců, více podle místních okolností a významu systému.
Filtrujte obsah e-mailů
Po důkladné analýze chování uživatelů určete typy souborů, které potřebují posílat e-mailem. Ostatní formáty příloh blokujte, především spustitelný kód. Dále ověřujte soulad přípony souboru a jeho skutečného formátu.
Pravidelně zálohujte
Nezapomínejte na pravidelnou zálohu důležitých a citlivých dat, jako je například obsah webového serveru, databází nebo konfiguraci služeb. Pravidelně testujte, jestli jsou zálohy funkční a je možné z nich data obnovit.
Pro přihlášení využívejte klíče, ne hesla
Pro správu serverů pomocí SSH používejte pro přihlášení klíče. Pro svázání otisku klíče se serverem, na kterém je použitý, využívejte SSHFP záznamy v DNS ideálně v kombinaci s DNSSEC, který zajistí autenticitu odpovědi obsahující SSHFP záznam. Hesla zakažte.
A to není vše. Mezi další opatření, která byste měli dodržovat na svých stanicích a serverech patří zavedení Standard Operating Environment (SOE), zamezení přímému přístupu pracovních stanic na internet, antivirový a bezpečnostní software, šifrování disků, využívání Trusted Platform Module (TPM), nastavení hesla UEFI/BIOS, vynucování secure bootu, ochrana před útoky na hesla, provádění hardeningu konfigurace serverových aplikací, kontrola přenosných médií, omezení přístupu k Server Message Blocku (SMB) a NETBIOSU, hledání potenciálně škodlivých anomálií v dokumentech MS Office, vynucování vytáčení VPN a v neposlední řadě zajištění fyzické bezpečnosti IT techniky.
Jak postupovat, abyste nedopadli jako odborníci z NASA? Kontaktujte nás, my už se o vaši kybernetickou bezpečnost postaráme.
