Blog

Dekriptirajte mi moje podatke!

Koje su to prakse i metode koje vas mogu zaštititi od maliciozni prijetnji i i zašto je važno da kontinuirano unapređujete informacijsku sigurnost doznajte u blogu!
Objavljeno 21.04.2015.

Kad je nekome nešto bitno, onda se to može i iskoristiti kao poluga za ucjenu. Iznuda ili ucjena stara je kriminalna praksa koja je prisutna od pamtivijeka. Djeca, rodbina, kućni ljubimci, materijalna dobra… sve su to poluge koje se mogu iskoristiti za stjecanje neke dobiti. S obzirom na razvoj tehnologija te naše ovisnosti o istima, stvorena je nova poluga koja se može koristiti za ucjenu ili iznudu. To su naši podaci. Bilo da oni sadržavaju nešto na čemu smo radili danima, mjesecima, godinama ili pak sadrže intimne i privatne informacije koje ne želimo dijeliti sa drugima, ti podaci su nešto što nam je jako bitno. Nažalost i kriminalni milje je svjestan te činjenice. Samim time nije ni čudo da su se unazad par godina razvili maliciozni softveri kojima je cilj te naše podatke ukrasti, uništiti ili ih držati za otkupninu. Ovo zadnje je najprofitabilnija varijanta i samim time najprisutnija. Softver koji ne uništava podatke nego ih jednostavno drži nedostupnima dok žrtva ne plati određenu suma novca zove se “Ransomware”.

Croz-x[1]
Unazad par mjeseci Hrvatsku i ostale zemlje istočne Europe poharalo je više inačica „Ransomware-a“. Upravo zato se puno tvrtki pita kako zaštiti vlastite podatke. Nažalost, većina inačica „Ransomware-a„  je jako dobro napravljena i zbog naprednih metoda infekcije skoro pa neprimjetna za antivirusne alate koji su, opet nažalost, jedina linija obrane u mnogim tvrtkama. I opet, kao i u mnogim drugim slučajevima koji dobiju medijsku pozornost, na kratko se otvori tema sveobuhvatnog, konzistentnog i kontinuiranog pristupa informacijskoj sigurnosti. Zašto? Zato što je to jedini način na koji se tvrtke mogu nositi sa ovakvim prijetnjama. Čak kada tvrtka i ima sve mehanizme, ljude i procese postavljene na najvišu raznu sigurnosni incidenti su mogući i gotovo zagarantirani. „Koja je onda svrha svog truda da podignemo sigurnost sustava na najvišu moguću mjeru kada ni onda nisam siguran?“, pitanje je koje svi postavljaju. Cilj i svrha je smanjiti opseg problema na najmanju moguću mjeru, izolirati problem i na taj način smanjiti štetu te osigurati kontinuirano poslovanje tvrtke. Neki od slučajeva koji su se dogodili u Hrvatskoj, vezani uz „Ransomware“ su bili toliko drastični da su se kompletni IT sustavi morali podizati iznova jer nisu bile praćene najosnovnije sigurnosne preporuke i industrijske prakse. Koje su to prakse/metode? Im ih mnogo i vezane su i specifične za svaki sustav posebno, ali postoje one neke :

  1. Kontinuirana i redovna provjera ranjivosti na svim sustavima

Redovnom i automatiziranom provjerom ranjivosti dobiva se uvid u stanje sigurnosti sustava te eventualno postojanje kritičnih propusta koje koriste neke od inačica „Ransomware-a“ za inicijalnu kompromitaciju sustava (CROZ preporuča alat – Rapid7 Nexpose).

  1. Smanjenje površine za napad na radnim stanicama ograničavanjem pokretanja aplikacija na način da se samo odobrene aplikacije smiju pokrenuti

Ako na radnim stanicama ograničimo pokretanje datoteka samo na one kojima vjerujemo drastično se može smanjiti površina za napad i kompromitaciju računala koju koristi „Ransomware“ te sav ostali maliciozni kod (CROZ preporuča – Symantec Endpoint Protection – Application Control).

  1. Filtriranje i kontrola web prometa

Kontrolom sadržaja kojem se pristupa na internetu smanjuje se šansa da će korisnik posjetiti stranicu koja na sebi sadrži maliciozni kod te analizira posjetu svakoj web stranici za postojanjem malicioznog koda. Svakako je potrebno i redovno nadzirati takav promet i pratiti anomalije u posjetima web stranica. Jedna od naj jednostavnih anomalija za uočiti je skok prometa prema IP adresama koje se nalaze u Ukrajini, Rusiji ili Kini. Dodatna prednost filtriranja web prometa je blokada pristupa poznatim malicioznim IP adresama ili „botnetima“ koja može spriječiti preuzimanje maliciozne datoteke. Blokiranje svih datoteka koje se mogu pokrenuti je još jedna od bitnih metoda koja se može primijeniti u ovom kontekstu (CROZ preporuča – Fortinet FortiGate).

  1. Inline sandboxing

Inline sandboxing je kontrola svih sumnjivih datoteka na ulazu u mrežu te pokretanje i analiza istih u kontroliranom virtualnom okruženju. Iako ovaj tip tehnologije neće blokirati maliciozan softver, on omogućava tvrtkama da nakon što se izvrši analiza nad sumnjivom datotekom mogu utvrditi je li ista maliciozna ili ne. S obzirom da je analiza obično gotova nekoliko minuta nakon ulaska datoteke u mrežu, tvrtke mogu brzo reagirati i spriječiti daljnju infekciju unutar mreže. (CROZ preporuča – Fortinet FortiSandbox)

  1. Praćenje najboljih sigurnosnih praksi vezanih uz Microsoft operativne sustave
  • Redukcija administrativnih prava
  • Implementiran ciklus ažuriranja zakrpi
  • Korištenje User Access Control mogućnosti
  • Korištenje EMET tehnologije
  1. Korištenje log management rješenja za praćenje anomalija u pristupu datotečnim sustavima

Sustavi za prikupljanje logova mogu upozoriti na anomalije koje su vezane za pristup datotečnim sustavima te na taj način uočiti radnje koje su sumnjive (npr. veliki skok u broj pristupa datotečnom poslužitelju – trenutak u kojem „Ransomware“ počinje raditi enkripciju datoteka) (CROZ preporuča – IBM Qradar)

  1. Edukacija korisnika

Vrlo vjerojatno najučinkovitija metoda je edukacija korisnika o prijetnjama koje su aktualne i prisutne. Periodična edukacija korisnika može puno pomoći i eliminaciji problema sa malicioznim softverom u cjelini.

Za provjeru sigurnosti sustava i aplikacija obratite nam se na croz@croz.net.

Tagovi:
Povratak