fbpx

Mic ghid de autoprotecție în spațiul virtual

Aplicațiile malițioase fac parte din regula jocului în spațiul virtual. Agenții atacatori sunt grupați în 3 mari clase: hackerii singuratici, grupările de criminalitate informatică și actorii statali.

Motivațiile agenților atacatori sunt diverse:   financiare,  ideologice,  strategice.

Pentru a asigura echilibrul și stabilitatea sistemelor IT pe care le gestionăm sunt necesare măsuri de prevenție, cu rolul de  a limita atacurile cibernetice, precum și măsuri de restabilire a serviciilor în situația unui atac cibernetic.

În cele ce urmează vă prezentăm un plan de măsuri de prevenție, în situația infectării cu o aplicație malițioasă, gestionată de oricare din cele trei categorii de actori.

  • Actualizarea la versiunea la zi şi/sau patch-uirea aplicaţiilor utilizate precum Flash Player, Java, PDF viewer, Microsoft Office etc. Corectarea în termen de maxim 1-2 zile a tuturor vulnerabilităţilor cu impact major identificate (specifice  sistemului sau cu caracter general).
  • Actualizarea la versiunea la zi şi/sau patch-uirea sistemelor de operare. Corectarea în termen de maxim 1-2 zile a tuturor vulnerabilităţilor cu impact major identificate (specifice sistemului sau cu caracter general).
  • Separarea rolurilor de administrator de cel de utilizator în sensul în care utilizatorul administrator îşi desfăşoară activităţile uzuale (navigare internet, email etc.) din cont fără privilegii de administrare.
  • Diminuarea conturilor cu privilegii de administrare la minimul necesar asigurării funcţionalităţii sistemului dar şi a backupului.
  • Utilizarea unor utilitare dedicate care permit rularea pe echipamente doar a aplicaţiilor premise.
  • Utilizarea unor utilitare dedicate identificării anomaliilor la nivelul sistemelor, precum încărcare neautorizată de drivere, injecţie de procese, etc.
  • Utilizarea unor mecanisme de filtrare a conţinutului email-urilor. Permiterea unei categorii precise de ataşamente. Convertirea fişierelor tip PDF sau Microsoft Office.
  • Verificarea mesajelor mail la intrare/ieşire în scopul eliminării atacurilor tip spoofing.
  • Evitarea utilizării de parole slabe sau reutilizarea parolelor.
  • Evitarea expunerii adreselor de email.
  • Permiterea introducerii în sistem doar a mediilor de stocare dedicate.
  • Utilizarea unor utilitare de filtrare a traficului de intrare/ieşire a datelor în/din sistem, crearea unor liste albe/negre de acces.
  • Crearea unor liste albe/negre de domenii (toate categoriile), în scopul eliminării domeniilor maliţioase.
  • Implementarea unui firewall software la nivelul terminalelor.
  • Segmenterea reţelei în scopul creării de zone protejate (hardware şi software) în care sunt stocate exclusiv informaţiile sensibile, serviciile de securitate, aplicaţiile sensibile.
  • Implementarea metodei de autentificare multi-factor pentru utilizatorii cu drepturi extinse.
  • Politica de parole pentru administratorii locali, unice şi complexe pentru toate computerele. Utilizarea privilegiilor de grup de domeniu în locul conturilor de administrator local.
  • Impunerea unei politici de parole puternice care să acopere criteriile de complexitate, de lungime şi care să evite   utilizarea frazelor sau cuvintelor din dicţionar.
  • Implementarea unui gateway la graniţă sistemului prin utilizarea unui firewall cu capabilităţi IPv6 care să împiedice computerele să aceseze direct Internetul, ci numai prin intermediul unui server DNS dedicat, a unui server de e-mail sau un proxy web autentificat.
  • Protejarea zonei de execuție a codului prin metode hardware şi software.
  • Utilizarea unui software antivirus licențiat, actualizat care prezintă capabilități de detecție euristică. Utilizarea de produse software antivirus diferite pentru gateway şi staţiile de lucru.
  • Utilizarea unui mediu de operare virtualizat cu acces limitat la fişierele de reţea partajate, pentru activităţi riscante,  cum ar fi citirea e-mailului şi navigarea pe web.
  • Centralizarea şi sincronizarea în timp a activităţilor din reţea, analiza periodică a jurnalelor de audit, stocarea datelor de  audit pentru cel puţin 18 luni.
  • Centralizarea şi sincronizarea în timp a evenimentelor de logare (reuşite şi nereuşite) la nivelul staţiilor de lucru, analiza  periodică a jurnalelor de audit, stocarea datelor de audit pentru cel puţin 18 luni.
  • Dezactivarea serviciilor neutilizate la nivelul serviciilor de operare.
  • Consolidarea securitatii configuraţiilor de securitate la nivelul aplicaţilor instalate pe staţiile de lucru (de exemplu dezactivarea funcţiilor de vizualizare PDF neobligatorii, aplicaţiile Microsoft Office şi browsere web).
  • Restricţionarea accesului la serviciile NetBIOS care rulează pe staţiile de lucru şi pe servere acolo unde este posibil.
  • Realizarea configurării de securitate a serverului de aplicaţii.
  • Controlul mediilor de stocare amovibile şi portabile ca parte a unei strategii de prevenire a pierderilor de date, inclusiv depozitarea, manipularea, lista albă a dispozitivelor USB permise, criptare şi distrugere.
  • Utilizarea cifrării TLS între serverele de e-mail. Scanarea de conţinut a traficului după descifrarea e-mailurilor.
  • Dezactivarea suportului pentru LanMan password şi evitarea păstrarii în memoria cache a datelor de conectare necesare accesarii staţiilor de lucru şi serverelor.
  • Accesarea site-urilor web pe bază de IP și nu prin numele de domeniu al acestuia.
  • Implementarea unui sistem de detecție a intruziunilor care utilizează semnături și căutare euristică pentru identificarea  anomaliilor de trafic intern sau la frontiera rețelei.
  • Implementarea unei liste negre pentru Gateway-ul reţelei în vederea blocării accesului la domenii maliţioase şi adrese IP cunoscute, inclusiv domenii dinamice şi alte servicii furnizate gratuit pentru utilizatorii de Internet anonimi.
  • Realizarea de capturi a întregului trafic de reţea pentru efectuarea analizelor post-incident în cazul intruziunilor reușite. Stocarea traficului de reţea pentru cel puţin şapte zile.

Cursul manager de securitatea informatiei, organizat de Business Generator, este un curs de tipul hands-on în care sunt abordate inclusiv elemente tehnice aplicative de gestionare a incidentelor de securitate.