Dva úspěšné útoky 2017

Pokud jste IT administrátoři nebo podnikatelé, měli byste zbystřit a podívat se na dva úspěšné útoky roku 2017 – únik dat ze služby Uber a zvýšený výskyt ransomwaru.

Úniky dat ve velkém

V listopadu vyšlo najevo, že došlo k masivnímu úniku dat ve společnosti Uber.  Uniklo celkem 57 milionů uživatelských účtů spolu se jmény, emaily a telefonními čísly. Z toho 7 milionů patřilo řidičům.

Vtipné je, že se incident stal v roce 2016 a Uber věřil, že vyplacením $100k odměny hackerům incident ututlá.

Je potřeba si uvědomit, že systémy nestačí nastavit a provozovat, musíte být schopni detekovat jejich zneužití. Nezapomínejte na externí systémy, na kterých je váš byznys závislý. Pokud byste se někdy ocitli v podobné situaci, položte si následující otázky.

Jak zmírnit dopad? Váš cíl je ochránit službu a její uživatele, musíte co nejrychleji zmírnit škody na obou stranách. Rozmyslete si správnou komunikační strategii a pracujte s fakty.

Jak k tomu došlo? Potřebuje postupně vysledovat, kdy a jak k incidentu došlo, abyste adekvátně reagovali. Útočníky musíte ze svého prostředí vymýtit. Analýza incidentu vám pomůže problém izolovat a zjistit bezpečnostní dopad.

Ransomware

Série ransomwaru NotPetya, WannaCry a Locky nemilosrdně šifrovala disky. Útočníci rádi poskytli potřebnou podporu, jak nakoupit bitcoiny a zaplatit.

Ransomware pro své šíření využívá více metod. Můžete dostat phisingový email, nebo používáte terminálovou službu (RDP) se slabými hesly. Posledním metodou úspěšného šíření je útok pomocí čerstvých zranitelností. V případě WannaCry se jednalo o slabinu ve službě sdílení (SMB), kterou Microsoft opravil v záplatě MS17-010.

Jak se můžete proti takovým útokům bránit?

Segmentace sítě

Ne vždy se útoku můžete vyhnout, musíte počítat s tím, že k nákaze dojde. Navrhněte správnou segmentaci vaší sítě. Můžete virtuálně segmentovat sítě LAN, nebo blokovat prostupy mezi sítěmi firewallem. Jde o to, aby se v případě incidentu nákaza nešířila mimo definované zóny. Nezapomeňte na sdílené složky a disky, které jsou mezi stanicemi a servery připojeny.

Antivir

Dnes už je antivirus s pravidelně aktualizovanou virovou databází nutnost. Dnešní antiviry mají webové štíty, kontrolují stažené soubory a reagují na nové hrozby do 14 dnů. V podnikovém prostředí potřebujete centrální antivirovou konzoli, abyste mohli sledovat aktivitu připojených agentů. Kromě nákazy sledujte události o vypnutí antiviru, které mohou prozradit přítomnost útočníka.

Bezpečnostní aktualizace

  1. Na stanicích nastavte automatické stahování aktualizací a jejich aplikaci.
  2. Na serveru aktualizace alespoň stahujte na disk a v pravidelných odstávkách aplikujte. Aktualizace mohou obsahovat chyby, proto se u kritických systémů nejdříve nasazují na testovací prostředí.
  3. Sledujte aktuální dění na Internetu. Pokud se objeví kritická zranitelnost, která umožňuje získat přístup vzdáleně bez přihlášení, většinou ji zaregistrujete. Prozkoumejte popis zranitelnosti, podmínky úspěšného útoku a doporučení vydavatele softwaru.

Politika zabezpečení serveru

Pro servery by měl existovat politika zabezpečení serveru (dokument), ideálně vynucený technickým nastavením přímo na serveru. Uživatelské účty na serverech musí mít silná a unikátní hesla. Doporučujeme použít správce hesel a vygenerovat si heslo s délkou dvanáct a více znaků.

Je-li server v Internetu, pro vzdálený přístup (RDP) povolte přístup jen na určitý rozsah zdrojových IP adres, zabráníte tak útočníkům ke službě přistupovat. Na další pravidla ohledně instalace softwaru a nastavení firewallu určitě přijdete sami.

Zálohování

Zálohování je vaše poslední záchrana. Pravidelně svoje data zálohujte a jednou za čas proveďte kontrolní obnovu. Otestujete si tak, že zálohování je správně nastaveno a personál je schopen data obnovit v definovaném čase.

Tímto se pomalu blížíme k závěru.

Závěr

Cílem příspěvku bylo spojit skutečné loňské události s bezpečnostními opatřeními. Vždy budou existovat hrozby a útoky na které se nepřipravíte. Pokud k něčemu dojde, každá dobře integrovaná ochrana vám zvětší manévrovací prostor.

 

 

 

 

Blog

Kontakty

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti….

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android…

Číst dál

Android hacking pro začátečníky – Android Studio

Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041