Počas celého roku 2020 mali podniky vo všeobecnosti plné ruky práce s výzvami v oblasti IT. Museli sa ponáhľať, aby vyhoveli náhlemu prechodu na prácu na diaľku. Potom museli prejsť rýchlym prijatím automatizačných technológií.
A keď sa rok chýlil ku koncu, viac podnikov sa začalo snažiť zostaviť bezpečnostnú infraštruktúru potrebnú na to, aby sa v roku 2021 vrátila do určitého zdania normálneho stavu.
Koncom roka však správy o masívnom narušení predajcu IT monitorovacieho softvéru SolarWinds priniesli novú komplikáciu – možnosť vlny sekundárnych únikov dát a kybernetických útokov. A keďže produkty SolarWinds sú prítomné v toľkých obchodných sieťach, veľkosť hrozby je obrovská.
Zatiaľ sa však väčšina pozornosti venuje veľkým podnikom, ako sú Microsoft a Cisco (a vláda USA), ktoré boli hlavným cieľom prelomenia SolarWinds. To, o čom nikto nehovorí, je zvyšok z približne 18 000 klientov SolarWinds, ktorí mohli byť ovplyvnení. Pre nich tikajú hodiny, aby sa pokúsili posúdiť riziko útoku a podnikli kroky na svoju ochranu.
A pretože množstvo dotknutých podnikov nemá zdroje veľkých ľudí, je to v súčasnosti veľká úloha.
Takže to najlepšie, čo môže veľa spoločností urobiť, aby práve teraz podnikli kroky, je urobiť zo svojich sietí o niečo ťažší cieľ – alebo aspoň minimalizovať svoje šance na veľké narušenie. Tu je postup:
Začnite základnými krokmi zabezpečenia
Prvá vec, ktorú by podniky mali urobiť, je uistiť sa, že ich siete sú čo najvnútornejšie bezpečné. To znamená prekonfigurovať sieťové prostriedky tak, aby boli čo najviac izolované.
Dobrým miestom, kde začať, je uistiť sa, že všetky veľké obchodné dátové jazerá dodržiavajú všetky osvedčené bezpečnostné postupy a zostávajú prevádzkovo oddelené jedna od druhej. Ak tak urobíte, môžete obmedziť únik údajov, ak neoprávnení používatelia získajú prístup z dôvodu narušenia bezpečnosti.
Ale to je len začiatok. Ďalším krokom je segmentácia sieťového hardvéru do logických bezpečnostných VLAN a vybudovanie firewallových bariér, aby sa zabránilo komunikácii medzi nimi (ak je to možné). Potom skontrolujte nastavenia zabezpečenia každej skupiny av prípade potreby vykonajte úpravy. Dokonca aj posilnenie systémov VoIP sa oplatí, pretože nikdy neviete, ktorá časť siete bude použitá ako vstupný bod pre širší útok.
A v neposlednom rade si preštudujte bezpečnostné praktiky a postupy zamestnancov. Toto je obzvlášť dôležité po náhlom zavedení politík práce z domu. Dajte si záležať na tom, aby ste videli, že každý zamestnanec pracuje v súlade so stanovenými bezpečnostnými štandardmi a nezískal žiadne zlé prevádzkové bezpečnostné návyky. Napríklad, začal niekto používať VPN zadarmo a veril, že zlepšuje bezpečnosť svojej domácej siete?
Ak áno, musia sa zastaviť a absolvovať školenie, aby mohli lepšie posúdiť bezpečnosť, zatiaľ čo stále pracujú na diaľku.
Vykonajte obmedzený bezpečnostný audit
Jedným z problémov, ktorým podniky čelia pri pokuse o opätovné zabezpečenie po možnom narušení siete, je, že neexistuje jednoduchý spôsob, ako zistiť, čo – ak vôbec niečo – útočníci zmenili po získaní prístupu. Zdĺhavé a zložité forenzné skúmanie je, samozrejme, jedinou skutočnou možnosťou. To však môže trvať mesiace a jeho vedenie môže stáť veľa peňazí. Pre menšie podniky, ktoré si ani nie sú isté, že k porušeniu došlo, existuje lepší prístup.
Je potrebné odobrať obmedzenú vzorku potenciálne ovplyvnených systémov a vykonať jednoduchý audit obmedzujúci riziko. Začnite s aspoň dvoma reprezentatívnymi počítačmi alebo zariadeniami z každej obchodnej jednotky alebo oddelenia. Potom každý preskúmajte, či neobsahuje známky problému.
Vo všeobecnosti by ste hľadali:
- Zakázaný alebo zmenený bezpečnostný a antivírusový softvér
- Nezvyčajné udalosti systémového denníka
- Nevysvetliteľné odchádzajúce sieťové pripojenia
- Chýbajúce bezpečnostné záplaty alebo problémy s automatickými aktualizáciami softvéru
- Neznáme alebo neschválené inštalácie softvéru
- Zmenené oprávnenia súborového systému
Hoci audit tohto typu nezaručí, že s každým zariadením vo vašej sieti nie je nič zlé, odhalí známky akéhokoľvek väčšieho prieniku, ktorý už prebehol. Väčšine malých a stredných podnikov by to malo stačiť v situáciách, keď v prvom rade neexistuje jasný dôkaz o aktívnom útoku.
Zapojte sa do obranných opatrení
Potom, čo sa vysporiadate so sieťou a jej používateľmi, ďalšia vec, ktorú musíte urobiť, je nasadiť niektoré obranné opatrenia, ktoré pomôžu s priebežným monitorovaním a detekciou útokov. Vynikajúce miesto, kde začať, je zriadiť si v rámci siete honeypot, aby ste potenciálnym útočníkom poskytli neodolateľný cieľ. To ich nielenže zamestná pri hľadaní systému, ktorý nie je kritický, ale slúži aj ako systém včasného varovania pre administrátorov, keď dôjde ku skutočnému útoku.
Existuje množstvo spôsobov, ako to dosiahnuť, od vopred vytvorených systémových obrazov až po sofistikovanejšie vlastné nasadenia. K dispozícii sú aj cloudové riešenia pre situácie, kedy je lokálny hardvér buď nevhodný alebo nežiaduci. Dôležité je vybudovať systém, ktorý monitoruje presný druh správania, ktorý by naznačoval problém v jeho prostredí.
Pozor však. Hoci je honeypot postavený ako cieľ, neznamená to, že by mal byť ponechaný úplne zraniteľný. Cieľom je urobiť z neho atraktívny cieľ, nie ľahký. A je dôležité zabezpečiť, aby to nebolo možné použiť ako odrazový mostík k väčšiemu útoku na skutočné produkčné systémy.
Z tohto dôvodu stojí za to využiť služby vyškoleného odborníka v oblasti kybernetickej bezpečnosti, ktorý vám pomôže zabezpečiť, aby sa systém nepremenil na bezpečnostnú zodpovednosť namiesto cenného obranného opatrenia.
Buďte ostražití
Po vykonaní vyššie uvedených krokov nezostáva nič iné, len čakať a sledovať. Žiaľ, neexistuje lepší spôsob, ako udržať bezpečnosť siete, než byť stále ostražití. A v situácii, ako je tá, ktorú rozpútal hack SolarWinds, sú podniky a IT organizácie vo všeobecnosti v značnej nevýhode.
Je to preto, že čelia nepriateľovi, ktorý môže, ale nemusí byť už za bránami, čo znamená, že nemôžu ustúpiť od typických bezpečnostných prístupov s hradbami.
Takže keď sa rok 2021 rozbieha, to najlepšie, čo môže každý podnik urobiť, je dať do poriadku svoj bezpečnostný dom a pokúsiť sa obmedziť škody, ak už boli narušené.
V každom prípade to stojí za námahu, pretože súčasné prostredie hrozieb sa bude len zhoršovať, nie zlepšovať. A hack SolarWinds, akokoľvek vážny a rozsiahly, nebude poslednou veľkou bezpečnostnou krízou, ktorej musia podniky čeliť.
Je teda čas pripútať sa, pretože nová dekáda bude z hľadiska zabezpečenia siete skutočne náročná – a oplatí sa byť na ňu pripravený.
