BEZPEČNOSTNÍ DOPORUČENÍ PRO PODNIKATELSKÉ SUBJEKTY KE ZMÍRNĚNÍ NÁSLEDKŮ ÚTOKU

Udržujte operační systémy a aplikace podnikových zařízení aktualizované.

  • Aplikujte nejnovější bezpečnostní záplaty a zajistěte, aby byl kritický software aktuální, a to i na mobilních zařízeních.
  • Pokud je to možné, povolte možnost automatických aktualizací. Díky nejnovějším aktualizacím zajistíte, že zařízení budou nejen bezpečnější, ale také budou mít lepší výkon.
  • Vyhodnoťte, zda jsou požadovány antivirové a antimalwarové produkty, a udržujte je v aktuálním stavu.
  • Provádějte pravidelné kontroly, abyste zajistili, že vaše operační systémy fungují efektivně.
  • Zvažte použití centralizovaného systému správy aktualizací a použijte strategii zhodnocení rizik k určení, které systémy by měly být součástí programu údržby aktualizací.
  • Pravidelně zálohujte své systémy, online i offline. Nejefektivnějším způsobem obnovy po útoku ransomwarem jsou aktuální zálohy.
  • Ujistěte se, že vytváříte offline zálohy, které jsou uchovávány na jiném místě (ideálně mimo server), než ve vaší síti a systémech, a / nebo v cloudové službě určené pro tento účel. Pamatujte, že ransomware aktivně cílí na zálohy, aby byla zvýšena pravděpodobnost, že oběti zaplatí za obnovení svých dat.

Poznejte svá aktiva a rozdělte je.

S citlivými daty je třeba zacházet odlišně od běžných dat.

  • Ukládejte citlivá data v oddělených umístěních.
  • Implementujte a zajistěte účinnou segmentaci sítě, abyste omezili schopnost protivníků procházet z jednoho segmentu do druhého.
  • Zajistěte rozdělení oblastí s různými charakteristikami a bezpečnostními profily. K tomu je možné využít izolaci a omezení přístupu k těm segmentům, které jsou více vystaveny riziku napadení.

Zabezpečte přístup k protokolům vzdálené plochy (RDP)

Omezte přístup k datům prostřednictvím sítí, zejména omezením RDP. Po řádném vyhodnocení rizik zvažte, zda je RDP pro vaši organizaci absolutně nezbytné, a v případě kladného výsledku postupujte tak, že omezíte původní zdroje a budete vyžadovat vícefaktorové ověřování.

Monitorujte nežádoucí únik dat.

Mnoho ransomwarových kampaní přichází s hrozbou zveřejnění dat, aby donutilo napadené podniky k placení výkupného. Čím dříve je detekován nežádoucí únik dat, tím menší poškození může jakékoli zveřejnění způsobit. Sledování úniku dat poskytuje přehled o tom, jakým datům hrozí riziko zneužití.

Neexistuje žádná záruka, že útočník data nezveřejnění nebo znovu nepoužije k dalšímu vydírání. Zvažte oba možné scénáře bez ohledu na to, zda je výkupné zaplaceno.

Otestujte své systémy.

Pravidelně provádějte penetrační testy vaší sítě za účelem zjištění míry jejich zabezpečení, a zároveň provádějte testy nastavených procesů obnovy dat ze záloh, abyste se ujistili, že obnovení dat funguje dle nastavených procesů.

Snižte pravděpodobnost, že se do vašich sítí dostane škodlivý obsah.

  • Zakažte skriptovací prostředí a makra.
  • Nakonfigurujte své systémy tak, aby aktivně kontrolovaly obsah a povolily pouze určité typy souborů a blokovaly weby, aplikace, protokoly atd., o nichž je známo, že jsou škodlivé.
  • Na úrovni sítě zvažte filtrování síťového provozu, implementaci zásad pro monitorování, filtrování a blokování neoprávněného nebo škodlivého provozu v rámci přístupu k vašim sítím.
  • Implementujte pravidla pro černou listinu / bílou listinu na základě aktuálních zpravodajských informací o hrozbách, abyste zabránili uživatelům v přístupu na škodlivé webové stránky, škodlivé IP adresy, phishingové adresy URL, anonymní proxy, síť Tor a další anonymizační služby, atd.

Používejte posílená hesla a pravidelně je měňte.

  • Čísla, symboly a kombinace velkých a malých písmen vám pomohou vytvořit silnější hesla.
  • Vyškolte a motivujte své zaměstnance k používání silných hesel v pracovním i soukromém životě a propagujte používání správce hesel.

Použijte silné ověřování.

Vyžadujte vícefaktorové ověřování pro přístup k účtům v kritických sítích, aby se minimalizovalo riziko přístupu prostřednictvím odcizených nebo hacknutých přihlašovacích údajů.

Spravujte používání privilegovaných účtů.

  • Omezte schopnost svých zaměstnanců instalovat a spouštět softwarové aplikace na podnikových síťových zařízeních.
  • Zajistěte, aby byly uživatelské a systémové účty omezeny zásadami používání účtů, kontrolou uživatelských účtů a správou přístupu privilegovaných uživatelů.
  • Nastavte přístupová práva uživatelů od základních až po privilegované, dále užijte zásadu “need to know” (zaměstnanci náleží znalost pouze těch informací, které potřebuje ke své práci) a oddělte povinnosti dle úrovně pozice zaměstnance. Potenciální kompromitace privilegovaného uživatelského účtu by vedla k mnohem většímu riziku v porovnání se základním uživatelským účtem.

Zabezpečte svá zařízení umožňující komunikaci v síti.

  • Implementujte opatření, jako je šifrování pevného disku, vypršení časového limitu nečinnosti zařízení, ochrana zobrazování soukromí na ploše, silné ověřování přístupů, deaktivace Bluetooth, a kontrola a šifrování přenosných médií (např. USB disky).
  • Implementujte schopnost vzdáleného uzamknutí zařízení, které bylo ztraceno nebo odcizeno.

Instalujte aplikace pouze z důvěryhodných zdrojů.

Na ta mobilní zařízení, která se připojují k podnikové síti, by společnosti měly povolit instalaci aplikací pouze z oficiálních zdrojů. Jako možnost zvažte vytvoření podnikového portálu s aplikacemi, prostřednictvím kterého mohou koncoví uživatelé přistupovat, stahovat a instalovat aplikace schválené společností. Poraďte se se svým prodejcem bezpečnostního softwaru nebo si vytvořte vlastní bezpečnostní systém.

Buďte opatrní při přístupu k firemním datům prostřednictvím veřejných sítí Wi-Fi.

Veřejné sítě Wi-Fi obecně nejsou zabezpečené. Pokud zaměstnanec přistupuje k podnikovým datům pomocí bezplatného připojení Wi-Fi na letišti nebo v kavárně, mohou být data vystavena potencionálním útočníkům. Doporučuje se, aby společnosti v tomto ohledu vytvářely účinné zásady vnitřní bezpečnostní politiky.

Poskytněte svým zaměstnancům vzdělávání a školení v oblasti kybernetické bezpečnosti.

  • Poučte své zaměstnance o zásadách společnosti v oblasti online bezpečnosti. Udělejte si čas na zvýšení povědomí o kybernetických hrozbách, zejména phishingu a sociálním inženýrství, a také o tom, co dělat, když narazí na podezřelou aktivitu.
  • Zvažte implementaci testovacího programu pro uživatele, který zahrnuje simulované útoky formou spearphishingu, aby zaměstnance odradil od návštěvy škodlivých webů nebo otevírání škodlivých příloh.
  • Poskytněte svým zaměstnancům bezproblémový způsob hlášení phishingových e-mailů a motivujte je, aby tak učinili. Jednoduchý vyskakovací nebo bodový systém s poděkováním pomáhá zaměstnancům dávat si pozor a hlásit, co jim připadá podezřelé.

Prozkoumejte vhodné nabídky pojištění kybernetické odpovědnosti.

Zvažte pořízení vhodného pojištění, které vám umožní dostatečné krytí v případě kybernetického útoku.

Zapněte lokální bránu firewall.

Chcete-li zabránit neoprávněnému přístupu, zapněte lokální bránu firewall.

Zakažte prostředí Windows PowerShell.

Pokud se nepoužívá, vypněte Windows PowerShell. Některé varianty ransomwaru používají PowerShell ke spuštění.

Co dělat v případě infekce ransomwarem?

  1. 1) Okamžitě odpojte, ale nevypínejte, infikované(-á) zařízení od všech síťových připojení, ať už kabelových, bezdrátových nebo mobilních.
  2. 2) Ve velmi závažných případech zvažte odpojení od sítě Wi-Fi, deaktivování připojení k páteřním sítím (včetně zařízení switch) a odpojení se od internetu.
  3. 3) Resetujte přihlašovací údaje, včetně hesel (zejména pro administrátorské a další systémové účty), ale zabezpečte, že si neuzavíráte cestu do systémů důležitých pro obnovení.
  4. 4) Incident nahlaste své národní policii a příslušnému úřadu pro kybernetickou a informační bezpečnost.
  5. 5) Uchovejte veškeré důkazy v koordinaci s příslušnými orgány vyšetřujícími kybernetický útok: vytvořte forenzní obraz postižených systémů (nebo snímek systému), vytvořte výpis paměti RAM postižených systémů, vytvořte zálohu systémových disků a uchovejte síťový tok (netflow) nebo jiné zájmové protokoly síťového provozu.
  6. 6) Navštivte www.nomoreransom.org a zkontrolujte, zda byla vaše firma infikována jednou z variant ransomwaru, pro kterou máme zdarma k dispozici dešifrovací nástroje. Pokud tomu tak není, pokračujte kroky k obnovení.
  7. 7) Bezpečně smažte infikovaná zařízení a znovu nainstalujte operační systém.
  8. 8) Před obnovením ze zálohy ověřte, zda neobsahuje žádný malware. Obnovit byste měli, pouze pokud jste si velmi jisti, že záloha a zařízení, ke kterému ji připojujete, jsou čisté.
  9. 9) Připojte zařízení k čisté síti a stáhněte, nainstalujte a aktualizujte operační systém a veškerý další software.
  10. 10) Nainstalujte, aktualizujte a spusťte antivirový software.
  11. 11) Znovu se připojte k síti.
  12. 12) Monitorujte síťový provoz a spusťte antivirové kontroly, abyste zjistili, zda nepřetrvává nějaká infekce.