Top

Blog

Quick Wins

Quick Wins

Quick Wins (opatrenia, ktoré za nízke náklady významne zvýšia bezpečnosť infraštruktúry)

Vzhľadom na stále častejší výskyt malwareových kampaní typu ransomware (WannaCry,NotPetya) uvádzame zoznam opatrení, ktoré sú rýchlo a ľahko implementovateľné a zároveň výrazne zvyšujú odolnosť infraštruktúry voči útokom typu kampane WannaCry ransomware alebo NotPetya ransomware. Pre úplnosť uvádzame aj bežne implementované opatrenia, ktorých absencia by však znamenala výrazné zjednodušenie aj takýchto útokov.

Ak by sa nás niekto spýtal: „Keď si mám vybrať a implementovať dve opatrenia, ktoré to majú byť?“, odpoveďou by bolo: „Vhodne nakonfigurovaný aplikačný whitelisting a včasné inštalovanie bezpečnostných aktualizácií. Pre zvýšenie bezpečnosti je však potrebné implementovať aj tie ostatné.“

Zoznam opatrení:

  • Aplikačný whitelisting
  • Včasné pravidelné inštalovanie bezpečnostných aktualizácií (pre operačný systém aj ďalší softvér, ako aj databázy anti-malvér riešení)
  • Zakázanie vykonávania makier v MS Office dokumentoch
  • Segmentácia siete a whitelisting na sieťovom firewalle
  • Filtrovanie a rozšírená opakovaná kontrola príloh mailov a URL v mailoch anti-malvér riešením
  • Inštalácia EMET na OS Windows
  • Využitie virtualizácie pre prácu s e-mailom a webom, a to najmä v prípade keď je nutné čítať všetky prijaté e-maily
  • Vypnutie nepotrebných služieb na klientských staniciach a serveroch a nastavenie lokálneho firewallu
  • Používanie klientskej stanice pod účtom používateľa s obmedzenými právami
  • Preškolenie používateľov o bezpečnostnom povedomí
  • Konfigurácia logovania pre účely forenznej analýzy
  • (OS Windows) Zebezpečenie systému voči kradnutiu hesiel a hashov hesiel z pamäte
  • Zamedzenie nechcenému vykonaniu skriptov (OS Windows)

Podrobnejší popis opatrení:

Aplikačný whitelisting

Väčšina útokov obsahuje fázu spúšťania nejakého third-party programu alebo skriptu. Zamedzenie vykonania tohto softvéru znamená zmarenie útoku. Aplikačný whitelisting funguje na princípe povolenia vykonania iba dôveryhodných programov – na základe podpisu programu, cesty k programu alebo jeho odtlačku (hashu). Na bežnej pracovnej stanici alebo serveri je možné vytvoriť zoznam legitímnych programov potrebných pre fungovanie systému a prácu používateľov a povoliť vykonávanie len týchto programov. Micorosoft vo vyšších edíciách OS Windows ponúka natívny nástroj AppLocker, pre OS Linux je k dispozícii napr. AppArmor. Odporúčame AppLocker na nejaký čas (napríklad niekoľko dní / týždeň) zapnúť do auditného módu, počas ktorého bude logovať aké programy sa spúšťajú. Po uplynutí stanoveného času je potrebné vyhodnotiť logy a na základe nich vytvoriť konfiguráciu pre plošné nasadenie AppLocker. Pre rôzne skupiny používateľov je možné vytvoriť rôzne (prispôsobené) konfigurácie. Konfigurácia pre servery bude pravdepodobne individuálna pre každý server (podľa jeho účelu). Je potrebné aby bola konfigurácia aplikačného whitelistingu čo najviac reštriktívna. Upozorňujeme, že aktualizácie najmä softvéru tretích strán môžu skomplikovať tvorbu pravidiel – napriek tomu je potrebné vyhnúť sa dieram v konfigurácii typu „povolenie spúšťania *.exe z cesty %APPDATA%\*“.

Časová náročnosť/zložitosť nasadenia: Nízka – rádovo človeko-dni. Prevádzka si vyžaduje údržbu (veľmi nízka časová náročnosť).
Finančné náklady: AppLocker je súčasťou vyšších edícií OS Windows. Ak nie je k dispozícii, je možné zakúpiť licencie pre takúto edíciu alebo iný nástroj pre aplikačný whitelisting. AppArmor je opensource freeware (zadarmo).

Včasné pravidelné inštalovanie bezpečnostných aktualizácií (pre operačný systém aj ďalší softvér, ako aj databázy anti-malvér riešení)

Úmerne s časom a rozšírenosťou používania softvéru sa zvyšuje pravdepodobnosť objavenia vážnej zraniteľnosti daného softvéru, ako aj výskyt zneužitia danej zraniteľnosti. Zraniteľnosti, ktoré sú objavené bezpečnostnou komunitou, sú štandardne oznámené výrobcovi softvéru, aby ten mohol vytvoriť a distribuovať bezpečnostné záplaty. Tieto záplaty bývajú po vydaní analyzované útočníkmi, ktorí na základe toho identifikujú o akú zraniteľnosť sa jedná a vytvoria exploit. Útočníci sa opierajú o fakt, že nasadenie aktualizácií istý čas trvá, respektíve v niektorých infraštruktúrach sa ani nedeje – teda použitie exploitu na zraniteľnosť, pre ktorú už existuje záplata, je aj tak úspešné. Z tohto dôvodu je potrebné včasné aplikovanie aktualizácií opravujúcich zraniteľnosti softvéru – to znamená, že je nutné sledovať, či sú k dispozícií aktualizácie a tie po otestovaní promptne nasadiť. Pre veľké infraštruktúry sa odporúča prioritizovať aplikáciu bezpečnostných záplat podľa dôležitosti systémov.
Stáva sa taktiež, že zraniteľnosť ako prví identifikujú útočníci – tí však neinformujú výrobcu softvéru, ale rovno exploitujú túto zraniteľnosť. Bezpečnostná komunita sa o existencii zraniteľnosti dozvie na základe analýzy prebiehajúcich útokov – v takom prípade informuje verejnosť aj s odporúčaniami ako sa chrániť, kým výrobca stihne vydať potrebnú bezpečnostnú aktualizáciu. Komunita tiež poskytuje návody ako ohodnotiť, či naša infraštruktúra nebola kompromitovaná. Z tohto dôvodu je taktiež potrebné pravidelne (denne) sledovať aktuálne dianie v oblasti bezpečnosti.
Používanie zastaraného softvéru, ktorý už nie je podporovaný (t.j. nie je vyvíjaný a nie sú preň vydávané bezpečnostné aktualizácie) je vážne bezpečnostné riziko, keďže pravdepodobnosť objavenia zraniteľností a ich zneužitie sa s časom zvyšuje. Nepodporovaný softvér a operačné systémy by mali byť nahradené hneď ako je to možné. Ako dočasné opatrenie taktiež odporúčame zastarané operačné systémy izolovať do samostatných sieťových segmentov (VLAN). Upozorňujeme, že pri softvéri vyrábanom na zákazku je potrebné myslieť aj na bezpečný návrh, ohodnotenie zraniteľností/penetračné testovanie a spôsob promptnej implementácie záplat opravujúcich nájdené a reportované zraniteľnosti (t.j. garancia vydávania bezpečnostných aktualizácií v rámci dohodnutého časového horizontu).

Časová náročnosť/zložitosť nasadenia: Nízka až stredná– v závislosti od rozsahu a rozmanitosti infraštruktúry. Je nutná pravidelnosť a dedikovanie človeko-hodín na testovanie a implementovanie bezpečnostných záplat, ako aj sledovanie aktuálneho diania v oblasti bezpečnosti.
Finančné náklady: Vydávanie bezpečnostných záplat by malo byť a býva súčasťou licencie pre daný softvér.

Zakázanie vykonávania makier v MS Office dokumentoch

Častým spôsobom doručenia malvéru obeti je prostredníctvom aktívneho obsahu MS Office dokumentu (VBA makro). Bežne nebýva potrebné prehliadať dokumenty s aktívnym obsahom a je teda možné plošne zakázať (napríklad pomocou doménových politík) vykonávanie makier v MS Office dokumentoch s tým, že používateľovi sa znemožní povoliť ich vykonanie na požiadanie. V prípade, že pre výkon práce je potrebné využívať aj aktívny obsah MS Office dokumentov, odporúčame udeliť výnimku len tým používateľom, ktorí to skutočne potrebujú a s tým, že MS Office ich vyzve na povolenie aktívneho obsahu. Títo používatelia by mali byť poučení, že povoľovať to je žiaduce iba pre dokumenty, kde naozaj očakávajú prítomnosť aktívneho obsahu. Ak sa využíva aktívny obsah v MS Office dokumentoch tak je taktiež možné a žiadúce zaviesť podpisovanie dokumentov s aktívnym obsahom (makrami) a nastaviť povolenie vykonania makier len pre dokumenty podpísané dôveryhodným certifikátom.

Časová náročnosť/zložitosť nasadenia: Veľmi nízka . Pre prípad implementácie podpisovania dokumentov je náročnosť nízka – stredná.
Finančné náklady: Žiadne – jedná sa len o zmenu konfigurácie.

Segmentácia siete a whitelisting na sieťovom firewalle

S účelom bránenia sa voči útokom je potrebné znížiť počet vstupov do infraštruktúry (napríklad nemať z Internetu prístupné SMB servery – najmä TCP/139, TCP/445, ani RDP servery – TCP/3389). S cieľom zmierniť dopady potenciálnej kompromitácie zariadenia je nutné sťažiť útočníkovi šírenie sa v sieti obmedzením prístupov do ďalších častí infraštruktúry tak, aby každý klient „videl“ len služby, ku ktorým potrebuje pristupovať. Infraštruktúru organizácie je potrebné segmentovať podľa účelu a jednotlivé segmenty oddeliť a chrániť stavovým (angl. stateful) sieťovým firewallom. Najúčinnejšie pravidlá sieťového firewallu sú pri použití whitelistingu – t.j. pravidiel povoľujúcich len potrebnú komunikáciu a zakazujúcich všetko ostatné. Firewall by mal byť nastavený podľa týchto princípov: 1) Z Internetu do klientskych sietí by nemalo byť povolené nič (okrem špecifík ako napríklad niektoré ICMPv6 správy ak je to potrebné). 2) Segmenty s klientskými stanicami by medzi sebou nemali mať povolenú žiadnu komunikáciu. 3) Z Internetu smerom do DMZ (servery s verejnými službami) by mala byť povolená komunikácia len na potrebné služby (t.j. špecifikované TCP/UDP porty). 4) Smerom do Internetu by mala byť povolená len komunikácia na potrebné služby podľa požiadaviek daného segmentu alebo servera. Upozorňujeme, že pravidlá by mali byť nastavované podľa princípu minimalizácie privilégií (angl. least privilege). To znamená, že povolená by mala byť len potrebná komunikácia z konkrétnych zdrojov na konkrétne služby. Je potrebné vyhnúť sa málo špecifickým pravidlám typu „zo zdrojovej IP administrátora povoľ komunikáciu všade na všetky porty“ nakoľko sa jedná o „diery“ v pravidlách firewallu, ktoré sú zneužiteľné potenciálnym útočníkom. S cieľom obmedziť prístupy k službám iných klientských staníc v rámci jedného segmentu je žiadúce využiť technológiu Private VLAN (PVLAN), prípadne protected ports, ktorá umožňuje izolovanie klientov aj keď sú v rovnakej VLAN.

Časová náročnosť/zložitosť nasadenia: Veľmi nízka až stredná v závislosti od aktuálnej architektúry siete a konfigurácie sieťových firewallov.
Finančné náklady: Žiadne ak je architektúra siete vyhovujúca.

Filtrovanie a rozšírená opakovaná kontrola príloh mailov a URL v mailoch anti-malvér riešením

Rozšíreným a často krát úspešným spôsobom útoku je posielanie e-mailov obsahujúcich škodlivé prílohy, alebo URL linky na škodlivé stránky, prípadne stránky poskytujúce škodlivý súbor na stiahnutie. Ochranou voči tomuto vektoru útoku je priamo na mailovom serveri: rozšírená kontrola príloh a URL stránok anti-malvér riešením a filtrovanie súborov (podľa typu súboru a jeho prípony) Pre kontrolu príloh a URL stránok anti-malvér riešením odporúčame nasledujúce: 1) kontrolovať všetky prílohy (aj obsah archívov) a URL obsiahnuté v tele e-mailu. 2) využitie anti-malvér riešení od 2 rôznych výrobcov – týmto opatrením sa zvyšuje pravdepodobnosť odhalenia malvéru. 3) všetky prílohy a referencované nie-html súbory, ktoré neboli anti-malvér riešením vyhodnotené ako škodlivé odporúčame uložiť do karantény a počas stanoveného času (napríklad 2 týždne) ich opakovane kontrolovať anti-malvér riešením. V prípade nájdenia malvéru je potrebné notifikovať zodpovedný personál. Takáto ochrana má veľkú výhodu v tom, že sa podarí spätne detegovať aj malvér, ktorý v čase doručovania e-mailu ešte nebol rozpoznávaný anti-malvér produktami. Následne je možné a potrebné skontrolovať, či súvisiaci e-mail nespôsobil kompromitáciu infraštruktúry. Filtrovanie súborov znamená, že mailový server povolí e-mailom preniesť len povolené typy súborov, respektíve zakáže posielanie takých typov súborov, ktorými je často šírený malvér, a ktoré nie je potrebné posielať e-mailom. Medzi súbory, ktoré by nemali byť posielané e-mailom patria: vykonateľné súbory (napr. .exe, .dll, .bat, .hta, .wsf a podobne). Je potrebné kontrolovať minimálne prípony súborov, ideálne však aj skutočný typ (na základe Magic number). Taktiež je potrebné kontrolovať aj obsah archívov (ako napríklad .zip, .rar, .7z, .gz, .tar, .tgz). E-mailový server by taktiež mal byť nakonfigurovaný tak, aby zahadzoval e-maily so sfalšovanou adresou odosielateľa – najmä sfalšovaného odosielateľa s e-mailom z domény obsluhovanej našim mailovým serverom.

Časová náročnosť/zložitosť nasadenia: Zložitosť nízka až stredná – rádovo človeko-dni až človeko-týždne.
Finančné náklady: Náklady na licencie pre 2 anti-malvér riešenia. Karanténa a opakovaná kontrola súborov môže byť implementovaná napríklad na virtuálnom serveri s OS Linux – t.j. nízke alebo žiadne finančné náklady.

Inštalácia EMET na OS Windows

Niektoré spôsoby útokov sa opierajú o zneužívanie zraniteľností v kóde softvéru. Takéto exploity (t.j. kód zneužívajúci zraniteľnosť cieľového softvéru) často obsahujú kombináciu známych exploitačných postupov. Tieto sa dajú detegovať počas vykonávania exploitu a následne zamedziť ďalšiemu vykonaniu škodlivého kódu. Pre ochranu proti exploitom je pre OS Windows dôležité nainštalovať a nakonfigurovať nástroj EMET (Enhanced Mitigation Experience Toolkit od spoločnosti Microsoft). Tento nástroj zapína anti-exploitačné ochrany, kontroluje prístupy do pamäte a deteguje pokusy o exploitáciu. Odporúčame zapnúť všetky ochrany, ktoré je možné, otestovať konfiguráciu a nástroj plošne nasadiť do prevádzky. Upozorňujeme, že pred nasadením je nutné vyladiť a otestovať konfiguráciu – je to potrebné najmä kvôli zastaraným aplikáciam, alebo nesprávne naprogramovaným aplikáciam tretích strán, ktorých legitímne neškodlivé správanie je detegované ako pokus o exploit a preto nie je pre ne možné zapnúť všetky anti-exploitačné ochrany.

Časová náročnosť/zložitosť nasadenia: Nízka. Prevádzka si vyžaduje údržbu (veľmi nízka časová náročnosť).
Finančné náklady:Žiadne – EMET je nespoplatneným nástrojom od spoločnosti Microsoft.

Využitie virtualizácie pre prácu s e-mailom a webom, a to najmä v prípade keď je nutné čítať všetky prijaté e-maily

Rozšíreným a často krát úspešným spôsobom útoku je posielanie e-mailov obsahujúcich škodlivé prílohy, alebo URL linky na škodlivé stránky. Ak používateľ otvorí takýto e-mail, následne môže byť kompromitovaná celá jeho pracovná stanica ako aj pripojené alebo dostupné sieťové úložiská. Efektívnou formou ochrany je otváranie e-mailov a pristupovanie na web z virtuálneho počítača na to určeného. Takýmto spôsobom sa dajú výrazne znížiť dopady potenciálnej kompromitácie a urýchliť obnova bežnej prevádzky. Virtuálny počítač je operačný systém nainštalovaný na virtuálnom hardvéri, ktorý môže bežať priamo na pracovnej stanici používateľa. Výhodou je, že tento operačný systém je logicky oddelený od operačného systému pracovnej stanice, na ktorej používateľ vykonáva svoju bežnú prácu. Ak bude kompromitovaný virtuálny počítač, tak pracovná stanica veľmi pravdepodobne ostane nedotknutá. Navyše virtualizácia umožňuje jednoduchý návrat k známemu dôveryhodnému stavu systému prostredníctvom snapshot-ov (táto operácia trvá rádovo sekundy až minúty).
Virtuálny počítač by nemal byť členom rovnakej domény ako operačný systém pracovnej stanice. Taktiež by mal byť logicky oddelený od siete, do ktorej je pripojená pracovná stanica (napríklad prostredníctvom VLAN na to určenej). Na úrovni sieťového firewallu by mala byť povolená komunikácia len s Internetom a potrebnými službami (t.j. napríklad mailový server a sieťová proxy). Virtuálny počítač môže obsahovať anti-malvér riešenie od iného výrobcu ako je riešenie použité na pracovnej stanici – toto zvyšuje pravdepodobnosť odhalenia škodlivého súboru ak by bol takýto skopírovaný aj na pracovnú stanicu. Na zdieľanie súborov s operačným systémom pracovnej stanice je možné nastaviť zdieľané priečinky. Je potrebné preškoliť používateľa ako môže používať zdieľané priečinky a taktiež, že po obnovení virtuálneho systému do pôvodného dôveryhodného stavu budú stratené všetky zmeny, ktoré na virtuálnom systéme boli vykonané.
Odporúčame nasadiť virtuálne počítače najmä na pracovné stanice používateľov, ktorých pracovná náplň vyžaduje otváranie všetkých prijatých e-mailov alebo sprístupňovanie aj potenciálne nebezpečných web stránok.

Časová náročnosť/zložitosť nasadenia: Nízka až stredná v závislosti od rozsahu infraštruktúry – rádovo človeko-dni. Prevádzka si vyžaduje údržbu (nízka časová náročnosť).
Finančné náklady:Náklady na licencie pre operačný systém na virtuálne počítače. Náklady na licencie pre anti-malvér riešenie na virtuálne počítače. Virtualizácia môže byť zabezpečená freeware riešením ako napríklad Oracle Virtualbox – t.j. zadarmo.

Vypnutie nepotrebných služieb na klientskych staniciach a serveroch a nastavenie lokálneho firewallu

Pre zníženie počtu možných spôsobov útoku je žiaduce vypnúť všetky nepotrebné služby na klientskych staniciach a serveroch (napríklad ak nie je potrebné aby bežal SMB server na pracovnej stanici, je potrebné vypnúť ho). S cieľom sťažiť útočníkovi šírenie sa v sieti (a to aj v rámci jedného segmentu) je dôležité zapnutie a vhodné nastavenie lokálneho firewallu. Lokálny firewall by mal byť nakonfigurovaný na princípe whitelistingu (t.j. povolenie len vybraných spojení a zakázanie všetkej ostatnej komunikácie).
Vypnutie nepotrebných služieb a nastavenie lokálneho aj sieťového firewallu je príkladom implementácie hĺbkovej (viacúrovňovej) ochrany v praxi.

Časová náročnosť/zložitosť nasadenia: Časová náročnosť/zložitosť nasadenia: Nízka až stredná – závisí od veľkosti a rôznorodosti infraštruktúry.
Finančné náklady:Žiadne – jedná sa o zmenu konfigurácie.

Používanie klientskej stanice pod účtom používateľa s obmedzenými právami

V prípade kompromitácie pracovnej stanice sú typicky cieľom útočníka aj ďalšie útoky alebo kompromitácia ďalších častí infraštruktúry. Toto je pre útočníka markantne jednoduchšie, ak kompromitoval stanicu rovno pod účtom administrátora. Preto je dôležité pre bežnú prácu na počítači prihlasovať sa prostredníctvom účtu s obmedzenými právami. Používanie stanice pod účtom bežného používateľa platí aj pre zamestnancov s rolou systémových administrátorov.
Taktiež je dôležitá prax nepristupovať k mailom ani neprehliadať webové stránky (okrem výnimiek súvisiacich so správou počítača) pod účtom superpoužívateľa.

Časová náročnosť/zložitosť nasadenia: Veľmi nízka.
Finančné náklady:Žiadne – jedná sa o zmenu konfigurácie a pracovných návykov.

(OS Windows) Zabezpečenie systému voči kradnutiu hesiel a hashov hesiel z pamäte

V prípade úspešnej kompromitácie pracovnej stanice alebo servera je typickým ďalším krokom útočníka získanie autentifikačných údajov, a to najmä údajov superpoužívateľa (t.j. používateľa s vysokými právami). Funkcionalitu kradnutia hesiel z pamäte implementuje napríklad aj malvér NotPetya.
S cieľom sťažiť útočníkovi získanie prihlasovacích údajov z pamäti systému alebo z konfiguračných súborov systému odporúčame implementovať nasledujúce efektívne opatrenia:

  • Na všetkých bežných pracovných staniciach a produkčných serveroch je potrebné odstránenie Debug privilégia všetkým používateľom systému.
  • vypnutie ukladania čitateľných hesiel v pamäti ak je to možné (upozorňujeme, že niektoré Single-Sign-On implementácie si vyžadujú túto funkcionalitu). Systém zapojený do domény si vo východzom stave pamätá 10 hashov hesiel úspešne prihlásených používateľov (v MS cache). Odporúčame znížiť počet zapamätaných hashov na pracovnej stanici na maximálne 2, čo i naďalej umožní prihlásenie jednému používateľovi aj v prípade nedostupnosti doménového radiča.

Pre zníženie dopadu úniku hashu hesla superpoužívateľa je tiež potrebné, aby administrátori používali vysoko komplexné heslá. Pre úplnosť upozorňujeme aj na to, že je potrebné ubezpečiť sa, že systém neukladá používateľské heslá vo forme NT hashov a to z dôvodu, že NT hashe sú v súčasnosti jednoducho reverzibilné.

Časová náročnosť/zložitosť nasadenia: Veľmi nízka.
Finančné náklady:Žiadne – jedná sa len o zmenu konfigurácie.

Preškolenie používateľov o bezpečnostnom povedomí

Slabým článkom bezpečnosti infraštruktúry štandardne ostáva používateľ. Z pohľadu útočníka je, namiesto útočenia na samotnú infraštruktúru, častokrát jednoduchšie a efektívne oklamať niektorého používateľa, a to s cieľom aby ten vykonal akciu prospešnú pre útočníka – napríklad zadal svoje prihlasovacie údaje na podvrhnutú stránku kontrolovanú útočníkom, alebo aby spustil malvér (napríklad otvorením škodlivej prílohy dôveryhodne vyzerajúceho e-mailu). Dôležitým prvkom ochrany infraštruktúry je preto preškolenie všetkých používateľov a zvýšenie ich bezpečnostného povedomia. Cieľom preškolenia je oboznámiť ich o spôsoboch typických útokov, nástrahách používania e-mailu a webu, naučiť ich bezpečným pracovným návykom používania počítača a tvorbe bezpečného hesla. Používatelia by mali byť naučení bezodkladne nahlasovať akúkoľvek podozrivú aktivitu, alebo podozrenie na bezpečnostný incident a malo by platiť, že nahlásené pochybenie používateľa nebude mať za následok vyvodenie negatívnych dôsledkov.
Upozorňujeme, že je dôležité aby boli preškolení skutočne všetci používatelia, nakoľko častým cieľom útoku bývajú práve používatelia s prístupom k množstvu citlivých dát – napríklad riaditelia, manažéri a správcovia systémov.
Odporúčame používateľov pravidelne preškoľovať napríklad formou prednášky alebo workshopu. Efektívnou formou preškoľovania je aj posielanie fiktívnych phishingových mailov. Používateľov, ktorí sa stali obeťou phishingu, je potrebné prioritne preškoliť o bezpečnostnom povedomí. Upozorňujeme, že nie je vhodné ani efektívne vyvodzovať negatívne dôsledky voči používateľom, ktorí sa stali obeťou testovacieho phishingu.

Časová náročnosť/zložitosť nasadenia: Nízka – rádovo človeko-hodiny až človeko-dni. Z pohľadu pravidelného preškoľovania je potrebná údržba (nízka časová náročnosť). Finančné náklady:Žiadne – ak preškolenie zabezpečí náš zamestnanec.

Konfigurácia logovania pre účely zrýchlenia forenznej analýzy

Vhodne implementované ochrany infraštruktúry výrazne sťažujú útočníkovi jeho snahy o kompromitáciu. Napriek tomu je však možné, že kompromitácia časti infraštruktúry bude úspešná a v tom prípade je dôležité rýchle a efektívne riešenie incidentu. Pre potreby forenznej analýzy je veľmi nápomocné zapnutie logovania nasledujúcich udalostí: 1) Zapnutie logovania spúšťaných procesov aj s plným príkazovým riadkom 2) Zapnutie logovania vykonávaných príkazov PowerShellu aj s textovým výstupom týchto príkazov (je k tomu potrebný PowerShell aspoň verzie 4).

Časová náročnosť/zložitosť nasadenia: Veľmi nízka. Finančné náklady: Žiadne – jedná sa len o zmenu konfigurácie.

Zamedzenie nechcenému vykonaniu skriptov (OS Windows)

Bežným vektorom útoku je doručenie skriptu vykonávajúceho škodlivú aktivitu, ktorý sa však maskuje ako legitímny súbor (napríklad súbor s názvom „Faktura2017-0622.docx.hta“). Útočník sa spolieha na to, že používateľ si nevšimne, že sa nejedná o legitímny súbor a otvorí ho, čím sa škodlivý skript vykoná. Ochranou je okrem aplikačného whitelistingu aj zamedzenie nechceného vykonania skriptov nastavením systému tak, aby namiesto vykonania súboru daný súbor otvoril v textovom editore. Odporúčame nastaviť asociáciu prípon skriptov napríklad s notepad.exe. Je vhodné toto nastaviť pre všetky nepotrebné typy súborov (prípony), avšak minimálne pre následujúce prípony: .wsf, .vbs, .vbe, .js, .jse, .hta.
Alternatívne je na bežnej pracovnej stanici možné deaktivovať komponent Windows Script Host a tým úplne zamedziť vykonávaniu týchto skriptov – môže to však spôsobiť znefunkčnenie niektorých zavedených metód správy počítačov v doméne.
Odporúčame taktiež zapnúť zobrazovanie prípon súborov a preškoliť používateľov aby ich kontrolovali – t.j. či sú prípony súborov naozaj tým typom súboru čo očakávaju, alebo či sa nejedná o dvojitú príponu, čo indikuje podozrivý súbor.

Časová náročnosť/zložitosť nasadenia: Nízka. 
Finančné náklady: Žiadne – jedná sa len o zmenu konfigurácie.

[prevzaté z https://www.csirt.gov.sk/informacna-bezpecnost/osvedcene-postupy/quick-wins-pre-zabezpecenie-organizacie-8a4.html]

Odber noviniek

Prihláste sa na pravidelný odber informácií o našich aktivitách