После произошедшего взлома специалисту необходимо узнать, к чему получили доступ злоумышленники и каким образом им удалось это сделать. Эта информация поможет определить, нужно ли уведомлять пользователей о взломе их данных и узнать, как защитить себя от следующей атаки, пишет издание CSO.
Во-первых, необходимо убедиться, что у вас есть необходимые ресурсы и соответствующая подготовка для расследования. Процесс определения того, как злоумышленник проник в сеть, часто основан на анализе доказательств и временных этапов. Знание того, как лучше всего обращаться с доказательствами, и наличие плана до того, как произойдет вторжение, являются ключом к правильному ведению расследования. У подразделения кибербезопасности Министерства юстиции США есть несколько ресурсов, которые могут помочь в планировании на будущее.
Этот контрольный список задач упростит реагирование на утечку данных или ограничит размер ее ущерба:
Разработайте планы по информированию руководства о потенциальных угрозах и рисках для организации, а также планы и инструменты для противодействия угрозам. Регулярно собирайтесь, чтобы обсудить риски и возможные реакции. Определите ключевые активы компании и поймите, какие процессы защиты вы можете применить для защиты этих ключевых активов.
Затем составьте план действий, которого вы будете придерживаться в случае утечки. Определите альтернативные средства связи с помощью резервных номеров телефонов и адресов электронной почты, которые не являются частью корпоративной электронной почты или инфраструктуры, поскольку ваша корпоративная электронная почта может быть взломана.
Заранее установите контакт с местными правоохранительными органами. В зависимости от размера вашей компании это может быть легко сделать, или вам может потребоваться консультация вашего поставщика услуг по страхованию.
Как злоумышленник получает доступ к сети, часто можно найти, копаясь в файлах журналов, поэтому храните резервные копии записей журнала безопасности и обращайтесь к файлам извне, поскольку они, как правило, быстро перезаписываются.
Документируйте процессы регистрации и увольнения сотрудников в сетевых ресурсах компании, гарантируя, что разрешения и доступ установлены или удалены должным образом. Обучите сотрудников правильным процедурам работы с паролями как для доступа к сети, так и с паролями, необходимыми для различных приложений. Убедитесь, что никто не оставляет пароли в виде открытого текста в файловых репозиториях.
Многие методы, которые злоумышленники используют для получения доступа к сети, полагаются на ваши собственные методы удаленного доступа. Поскольку вы использовали их в течение многих лет, пароли, используемые для доступа, скорее всего, были собраны и опубликованы на форумах или проданы в Интернете. Недавно сообщалось, что имена пользователей и пароли более чем «1,3 миллиона текущих и исторически скомпрометированных серверов удаленного рабочего стола Windows утекли на UAS, крупнейший хакерский маркетплэйс для украденных учетных данных RDP».
Как только злоумышленники получают доступ через протокол удаленного рабочего стола (RDP), они могут совершать боковое перемещение (одна из техник кибератак) по сети, особенно если они получают пароль администратора. База данных UAS показала, что многие серверы использовали небезопасные, легко угадываемые учетные данные, а стороннее программное обеспечение часто устанавливало учетные данные и пароли удаленного доступа по умолчанию, которые могли использоваться злоумышленниками.
У вас есть несколько способов противостоять риску компрометации удаленного доступа. Во-первых, вы можете ограничить удаленный рабочий стол определенными IP-адресами в качестве начальной меры защиты. Затем вы можете настроить удаленный рабочий стол для прохождения через шлюз удаленного рабочего стола в качестве дополнительной проверки подлинности, а также с помощью таких инструментов, как Duo.com, для обеспечения двухфакторной проверки подлинности. В итоге, не должно быть причин открывать удаленный рабочий стол для чего-либо внешнего.
Еще одно средство, которое злоумышленники используют для получения удаленного доступа, - это использование уязвимостей в программном обеспечении внешнего доступа, таком как виртуальные частные сети (VPN). В последнее время в атаках использовались уязвимости сервера Pulse Secure VPN. Веб-оболочки были размещены на устройстве Pulse Connect Secure для дальнейшего доступа и сохранения. В январе 2020 года программное обеспечение Citrix VPN также было подвержено уязвимостям.
Проверьте уровень исправления любого программного обеспечения VPN, подключенного к вашей сети. Если в ваших VPN не установлены обновления, вы подвергаете свою сеть риску.
Исправление программного обеспечения VPN, особенно если оно установлено на удаленных машинах, может быть проблематичным. Многие компании переходят на облачные инструменты, такие как Intune, чтобы лучше контролировать и обновлять машины. Если вы используете стороннее программное обеспечение VPN, уточните у поставщика варианты установки исправлений и развертывания. Всегда проверяйте, подписались ли ваши специалисты по установке исправлений для получения уведомлений об обновлениях программного обеспечения от поставщика.
Автор: Susan Bradley
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться