Aplicațiile malițioase fac parte din regula jocului în spațiul virtual. Agenții atacatori sunt grupați în 3 mari clase: hackerii singuratici, grupările de criminalitate informatică și actorii statali.
Motivațiile agenților atacatori sunt diverse: financiare, ideologice, strategice.
Pentru a asigura echilibrul și stabilitatea sistemelor IT pe care le gestionăm sunt necesare măsuri de prevenție, cu rolul de a limita atacurile cibernetice, precum și măsuri de restabilire a serviciilor în situația unui atac cibernetic.
În cele ce urmează vă prezentăm un plan de măsuri de prevenție, în situația infectării cu o aplicație malițioasă, gestionată de oricare din cele trei categorii de actori.
- Actualizarea la versiunea la zi şi/sau patch-uirea aplicaţiilor utilizate precum Flash Player, Java, PDF viewer, Microsoft Office etc. Corectarea în termen de maxim 1-2 zile a tuturor vulnerabilităţilor cu impact major identificate (specifice sistemului sau cu caracter general).
- Actualizarea la versiunea la zi şi/sau patch-uirea sistemelor de operare. Corectarea în termen de maxim 1-2 zile a tuturor vulnerabilităţilor cu impact major identificate (specifice sistemului sau cu caracter general).
- Separarea rolurilor de administrator de cel de utilizator în sensul în care utilizatorul administrator îşi desfăşoară activităţile uzuale (navigare internet, email etc.) din cont fără privilegii de administrare.
- Diminuarea conturilor cu privilegii de administrare la minimul necesar asigurării funcţionalităţii sistemului dar şi a backupului.
- Utilizarea unor utilitare dedicate care permit rularea pe echipamente doar a aplicaţiilor premise.
- Utilizarea unor utilitare dedicate identificării anomaliilor la nivelul sistemelor, precum încărcare neautorizată de drivere, injecţie de procese, etc.
- Utilizarea unor mecanisme de filtrare a conţinutului email-urilor. Permiterea unei categorii precise de ataşamente. Convertirea fişierelor tip PDF sau Microsoft Office.
- Verificarea mesajelor mail la intrare/ieşire în scopul eliminării atacurilor tip spoofing.
- Evitarea utilizării de parole slabe sau reutilizarea parolelor.
- Evitarea expunerii adreselor de email.
- Permiterea introducerii în sistem doar a mediilor de stocare dedicate.
- Utilizarea unor utilitare de filtrare a traficului de intrare/ieşire a datelor în/din sistem, crearea unor liste albe/negre de acces.
- Crearea unor liste albe/negre de domenii (toate categoriile), în scopul eliminării domeniilor maliţioase.
- Implementarea unui firewall software la nivelul terminalelor.
- Segmenterea reţelei în scopul creării de zone protejate (hardware şi software) în care sunt stocate exclusiv informaţiile sensibile, serviciile de securitate, aplicaţiile sensibile.
- Implementarea metodei de autentificare multi-factor pentru utilizatorii cu drepturi extinse.
- Politica de parole pentru administratorii locali, unice şi complexe pentru toate computerele. Utilizarea privilegiilor de grup de domeniu în locul conturilor de administrator local.
- Impunerea unei politici de parole puternice care să acopere criteriile de complexitate, de lungime şi care să evite utilizarea frazelor sau cuvintelor din dicţionar.
- Implementarea unui gateway la graniţă sistemului prin utilizarea unui firewall cu capabilităţi IPv6 care să împiedice computerele să aceseze direct Internetul, ci numai prin intermediul unui server DNS dedicat, a unui server de e-mail sau un proxy web autentificat.
- Protejarea zonei de execuție a codului prin metode hardware şi software.
- Utilizarea unui software antivirus licențiat, actualizat care prezintă capabilități de detecție euristică. Utilizarea de produse software antivirus diferite pentru gateway şi staţiile de lucru.
- Utilizarea unui mediu de operare virtualizat cu acces limitat la fişierele de reţea partajate, pentru activităţi riscante, cum ar fi citirea e-mailului şi navigarea pe web.
- Centralizarea şi sincronizarea în timp a activităţilor din reţea, analiza periodică a jurnalelor de audit, stocarea datelor de audit pentru cel puţin 18 luni.
- Centralizarea şi sincronizarea în timp a evenimentelor de logare (reuşite şi nereuşite) la nivelul staţiilor de lucru, analiza periodică a jurnalelor de audit, stocarea datelor de audit pentru cel puţin 18 luni.
- Dezactivarea serviciilor neutilizate la nivelul serviciilor de operare.
- Consolidarea securitatii configuraţiilor de securitate la nivelul aplicaţilor instalate pe staţiile de lucru (de exemplu dezactivarea funcţiilor de vizualizare PDF neobligatorii, aplicaţiile Microsoft Office şi browsere web).
- Restricţionarea accesului la serviciile NetBIOS care rulează pe staţiile de lucru şi pe servere acolo unde este posibil.
- Realizarea configurării de securitate a serverului de aplicaţii.
- Controlul mediilor de stocare amovibile şi portabile ca parte a unei strategii de prevenire a pierderilor de date, inclusiv depozitarea, manipularea, lista albă a dispozitivelor USB permise, criptare şi distrugere.
- Utilizarea cifrării TLS între serverele de e-mail. Scanarea de conţinut a traficului după descifrarea e-mailurilor.
- Dezactivarea suportului pentru LanMan password şi evitarea păstrarii în memoria cache a datelor de conectare necesare accesarii staţiilor de lucru şi serverelor.
- Accesarea site-urilor web pe bază de IP și nu prin numele de domeniu al acestuia.
- Implementarea unui sistem de detecție a intruziunilor care utilizează semnături și căutare euristică pentru identificarea anomaliilor de trafic intern sau la frontiera rețelei.
- Implementarea unei liste negre pentru Gateway-ul reţelei în vederea blocării accesului la domenii maliţioase şi adrese IP cunoscute, inclusiv domenii dinamice şi alte servicii furnizate gratuit pentru utilizatorii de Internet anonimi.
- Realizarea de capturi a întregului trafic de reţea pentru efectuarea analizelor post-incident în cazul intruziunilor reușite. Stocarea traficului de reţea pentru cel puţin şapte zile.