Jak wykrywać oraz ograniczać skutki złośliwej aktywności?

Słowo wstępu

Wskazany poradnik został przygotowany przez organy bezpieczeństwa cybernetycznego pięciu krajów: Australii (ACSC), Kanady (CCCS), Nowej Zelandii (CERT NZ), Wielkiej Brytanii (UK NCSC) i Stanów Zjednoczonych (CISA).

Dokument w j. angielskim znajduje się pod adresem: https://www.cisa.gov/uscert/ncas/alerts/aa20-245a

Główne założenia

W trakcie reagowania na potencjalne incydenty należy zastosować się do poniższych dobrych praktyk:

• Po pierwsze, zgromadź dla celów dalszej analizy: istotne artefakty, logi oraz dane.
• Następnie, wdróż procedury minimalizujące szkody, które jednocześnie nie zaalarmują przeciwnika o wykryciu jego działań w sieci.
• Finalnie, rozważ skorzystanie ze wsparcia strony podmiotu trzeciego, który świadczy profesjonalne usługi w dziedzinie bezpieczeństwa IT, co pozwoli na: zapewnienie wiedzy specjalistycznej oraz wsparcia technicznego w zakresie reakcji na incydent, usunięcie atakującego z sieci oraz uniknięcie pozostałych problemów związanych z następstwami incydentu, nawet jeżeli jest on uznany za zamknięty.

Opis

Procedura reakcji na incydent wymaga zastosowania szeregu rozwiązań technicznych, wykorzystywanych w celu wykrycia złośliwej aktywności. Osoby, które reagują na incydent, powinny rozważyć następujące działania:

• Określenie wektora ataku - zebranie danych dotyczących ataku z jak największej liczby źródeł. Poszukiwania powinny dotyczyć artefaktów sieciowych oraz występujących na hostach. Ocena zebranych danych w celu eliminacji zdarzeń fałszywie pozytywnych (z ang. false positive).
• Analiza częstotliwości - wykorzystanie dużych zbiorów danych w celu estymacji typowych schematów ruchu/działania, zarówno w sieci, jak i w systemach hostów. Użycie algorytmów predyktywnych w celu identyfikacji aktywności, która jest niespójna z typowymi schematami. Typowe zmienne, które są uwzględniane to: czas, położenie źródłowe, położenie docelowe, obciążenie portów, zgodność z protokołem, położenie pliku, integralność weryfikowana przez hash, wielkość pliku, metodologia nazewnictwa i inne atrybuty.
• Analiza wzorców - analiza danych w celu identyfikacji powtarzających się wzorców, które są typowe dla mechanizmów zautomatyzowanych (np. malware, skrypty) lub dla bezpośredniej aktywności atakującego. Odfiltrowanie danych zawierających typową aktywność oraz analiza pozostałych danych w celu identyfikacji podejrzanej lub złośliwej aktywności.
• Detekcja anomalii - dokonanie analizy (opartej na wiedzy i doświadczeniu zespołu zarządzającego systemem) zebranych artefaktów w celu identyfikacji błędów. Przegląd unikalnych wartości dla różnych zbiorów danych, a w razie potrzeby także badanie powiązanych danych w celu odnalezienia nietypowych działań, które mogą być związane z aktywnością atakującego.

Rekomendowany zakres gromadzenia artefaktów oraz innych informacji

Podczas badania sieci istotny jest przegląd jak najszerszego zakresu artefaktów, mający na celu identyfikację podejrzanej aktywności, która może być powiązana z incydentem. W trakcie badań należy rozważyć zgromadzenie i analizę następujących artefaktów:

Artefakty w systemie hosta

• Uruchomione procesy.
• Uruchomione usługi.
• Drzewa procesów w ujęciu Parent-Child.
• Integralność sum kontrolnych hash procesów działających w tle.
• Zainstalowane aplikacje.
• Konta użytkowników – lokalne i domenowe.
• Nietypowe uwierzytelnienia.
• Niestandardowe formatowanie nazw użytkowników.
• Otwarte porty oraz powiązane z nimi usługi.
• Ustawienia DNS oraz tras routingu.
• Ostatnio nawiązywane połączenia sieciowe.
• Ustawienie rejestru w gałęzi Run oraz inne ustawienia typu AutoRun.
• Ustawienia harmonogramu zadań.
• Sposoby uruchamiania programów (Prefetch lub Shimcache).
• Logi systemowe.
• Detekcje dokonane przez program antywirusowy.

Informacje wymagające przeglądu w przypadku analizy systemu hosta

• Zidentyfikowanie wszystkich nietypowych procesów, które próbują nawiązać połączenie z Internetem w celu sygnalizacji działania (beaconing) lub inicjowania dużych transferów danych.
• Zgromadzenie wszystkich zalogowanych komend PowerShell w poszukiwaniu komend, które były inicjowane z wykorzystaniem kodowania Bade64, w celu zidentyfikowania złośliwych ataków bez wykorzystania plików.
• Poszukiwania dużej liczby procesów .RAR, 7zip, lub WinZip, w szczególności w przypadku powiązania z podejrzanymi nazwami plików, w celu wykrycia działań przygotowawczych do wycieku danych (podejrzane nazwy plików obejmują schematy nadawania nazw, takie jak 1.zip, 2.zip itd).
• Zgromadzenie wszystkich logów uwierzytelnienia w celu poszukiwań zachowań odbiegających od typowych, takich jak nietypowy dla użytkownika czas logowania lub logowanie z adresu IP, który nie jest zazwyczaj wykorzystywany przez użytkownika.
• W przypadku systemów operacyjnych Linux/Unix, zgromadzenie wszelkich plików cron, systemd, etc/passwd w poszukiwaniu nietypowych kont lub logów, w szczególności przypominających konta użytkowników system / proc, ale posiadające interaktywną powłokę, taką jak /bin/bash zamiast /bin/false/nologin.
• W przypadku systemów operacyjnych MS Windows zgromadzenie wszystkich zadań zaplanowanych w Harmonogramie zadań, Obiektów Zasad Grupy (ang. Group Policy Objects (GPO)), ora WMI w celu poszukiwań złośliwej aktywności.
• Użycie pakietu narzędzi w ramach oprogramowania Microsoft Windows Sysinternals Autoruns, które umożliwia administratorom IT wyświetlenie i w razie potrzeby dezaktywację większości programów, które ładują się automatycznie.
• Weryfikacja rejestru Windows oraz usługi VSS (ang. Volume Shadow Copy) w celu poszukiwania dowodu ataku.
• Rozważenie zablokowania plików zawierających skrypty, takich jak .js, .vbs, .zip, .7z, .sfx , a nawet dokumentów Microsoft Office lub PDF.
• Zgromadzenie wszystkich skryptów lub plików binarnych elf z katalogów /dev/shm/tmp oraz /var/tmp.
• Wylistowanie modułów jądra system (kernel) przy użyciu komendy lsmod, w celu wykrycia śladów oprogramowania typu rootkit; wykorzystanie komendy dmesg w celu wykrycia śladów ładowania rootkit,
• Zarchiwizowanie zawartości logów z katalogu /var/log dla wszystkich hostów.
• Zarchiwizowanie wyniku komendy journald. Logi te treścią mniej więcej odpowiadają zawartości katalogu /var/log/, niemniej jednak ich integralność jest w większym stopniu weryfikowana i trudniej jest je zmodyfikować.
• Sprawdzenie, czy do pliku authorized_keys zostały dodane dodatkowe klucze uwierzytelniające.

Artefakty sieciowe

• Anomalie w ruchu lub aktywności DNS, nieznane serwery DNS, wyciek danych przez DNS oraz zmiany plików zawierających statyczne wpisy dotyczące hostów np.: / etc/hosts.
• Połączenia protokołem RDP (ang. Remote Desktop Protocol), sesje VPN (Virtual Private Network), połączenia secure shell (SSH) lub inne protokoły dostępu zdalnego powinny być zweryfikowane pod kątem połączeń przychodzących, użycia nieautoryzowanych narzędzi firm trzecich, jak również informacji przesyłanych otwartym tekstem oraz prób nieautoryzowanego przesyłania danych.
• Nagłówki URI oraz user agent, a także ustawienia proxy wskazujące na podejrzany lub złośliwy dostęp do www.
• Warstwa protokołu HTTPS/SSL (Hypertext Transfer Protocol Secure / Secure Sockets Layer)
• Nieautoryzowane połączenia do znanych źródeł zagrożeń.
• Protokoły Telnet, IRC (Internet Relay Chat), FTP (File Transfer Protocol).

Informacje wymagające przeglądu w przypadku analizy sieci.

• Poszukiwanie nowych połączeń do wcześniej nieużywanych portów.
• Przeszukiwanie schematów ruchu sieciowego pod względem czasu, częstotliwości, ilości przesyłanych danych.
• Zabezpieczenie logów proxy i – o ile to możliwe – dodanie nagłówków URI do logów.
• Wyłączenie LLMNR w sieci LAN, a w przypadku niemożliwości wyłączenia – zbieranie danych z portów LLMNR (UDP port 5355) oraz NetBIOS-NS (UDP port 137).
• Przegląd zmian tablic routingu, takich jak waga (weighting), adresy statyczne, bramki (gateway), rodzaj relacji.

Typowe błędy w obsłudze incydentów

Po stwierdzeniu, że system lub wiele systemów mogło zostać zaatakowanych, administratorzy i/lub właściciele systemu mają często pokusę, aby niezwłoczne podjąć działania. Pomimo dobrych intencji polegających na ograniczeniu strat będących wynikiem ataku, niektóre z tych działań mogą mieć niepożądane skutki, jak np.:

1. modyfikacja nietrwałych danych, które mogłyby pomóc w ustaleniu, co się wydarzyło oraz
2. zaalarmowanie atakującego o tym, że ofiara jest świadoma ataku. Takie działanie może się przyczynić do ukrycia śladów działania lub nawet do podjęcia działań destrukcyjnych (np. uruchomienia ransomware).

Poniżej przedstawione są działania, których podejmowania należy się wystrzegać, jak również niektóre konsekwencje podjęcia takich działań.

• Wyeliminowanie zainfekowanych systemów zanim osoby odpowiedzialne zabezpieczą i przywrócą dane:
  - może to doprowadzić do utraty danych nietrwałych takich dane przechowywane w pamięci operacyjnej lub innych artefaktów w systemie hosta;
  - przeciwnik może uzyskać o tym wiadomość i zmienić swoją taktykę oraz stosowane techniki i procedury.
• Kontakt z infrastrukturą przeciwnika (np. poprzez ping, nslookup, przeglądanie):
  - takie działania mogą powiadomić przeciwnika, że został wykryty.
• Zapobiegawcze zablokowanie infrastruktury przeciwnika:
  - przeciwnik może z łatwością przejąć kontrolę, bazując na innej infrastrukturze, a zaatakowany straci podgląd jego aktywności.
• Zapobiegawcze resetowanie danych uwierzytelniających;
  - przeciwnik prawdopodobnie ma dostęp do różnych danych uwierzytelniających, może mieć także dostęp do całej struktury Active Directory.
  - przeciwnik może użyć innych danych uwierzytelniających, stworzyć nowe dane tego typu lub podrabiać tickety.
• Niepowodzenie w zabezpieczeniu lub zgromadzeniu danych logowania może mieć krytyczne znaczenie poprzez niemożliwość zidentyfikowania nieuprawnionego dostępu do narażonych systemów:
  - w przypadku, gdy dane logowania o krytycznym znaczeniu nie zostały zebrane lub zachowane przez wymaganą ilość czasu, kluczowe informacje dotyczące incydentu mogą być niemożliwe do ustalenia. Zalecane jest zachowywanie danych logowania przez co najmniej rok.
• Komunikacja poprzez tę samą sieć, przez którą prowadzona jest reakcja na incydent. (Należy zapewnić, by cała komunikacja odbywała się zewnętrznie.)
• Naprawianie wyłącznie symptomów, a nie głównej przyczyny:
  - zabawa w grę “zabij kreta” (ang. “whack-a-mole”) poprzez blokowanie konkretnego adresu IP, bez podjęcia kroków w celu ustalenia, skąd wychodzi atak i jak przeciwnik wniknął w infrastrukturę - pozostawia mu możliwość zmiany taktyki i zachowania dostępu do sieci.

Rekomendowane działania śledcze i zaradcze

Przedstawione poniżej rekomendacje oraz dobre praktyki mogą być pomocne w procesie podejmowania działań śledczych I zaradczych.

Uwaga
niniejszy poradnik przedstawia dobre praktyki w celu ograniczenia ryzyka typowych ataków, jednakże poszczególne organizacje powinny dostosować działania ograniczające ryzyko do potrzeb własnej infrastruktury.

Porady ogólne dotyczące ograniczenia ryzyka

Ogranicz lub wyłącz możliwość korzystania z usług ftp oraz telnet

Protokoły FTP oraz Telnet przesyłają dane uwierzytelniające w tekście otwartym (ang. cleartext), co czyni je podatnymi na możliwość przechwycenia.

W celu ograniczenia tego ryzyka zakończ korzystanie z usług FTP oraz Telnet poprzez migrację do bardziej bezpiecznych protokołów przechowywania, przesyłania plików, oraz dostępu zdalnego.

• Przeprowadź weryfikację potrzeb biznesowych i wprowadź hosting plików poprzez bezpieczny/szyfrowany protokół - SFTP (Secure File Transfer Protocol) lub zasoby oparte na protokole HTTPS,
• Wykorzystaj protokół SSH (Secure Shell) w celu uzyskania dostępu zdalnego do urządzeń i serwerów.

Ogranicz lub zakończ korzystanie z niezatwierdzonych w organizacji usług vpn

• 

  Bezpłatna wiedza o RODO.
  Korzystaj do woli!

  Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.

  WCHODZĘ W TO
  Zweryfikuj potrzeby biznesowe i zasadność korzystania z niezatwierdzonych usług VPN.
• Zidentyfikuj takie usługi w sieci służbowej oraz wprowadź aplikacje i dodatki do przeglądarek, które zablokują korzystanie z niezatwierdzonych usług VPN.
• Popraw monitoring w celu uzyskania informacji dot. urządzeń, które korzystają z niezatwierdzonych usług VPN. Ułatwi to personelowi odpowiedzialnemu za bezpieczeństwo IT takie zarządzanie aplikacjami, które zidentyfikuje i usunie niepożądane oprogramowanie VPN.

Wyłącz lub usuń nieużywane usługi i urządzenia

• Atakujący potrafią zidentyfikować serwery, które są przestarzałe lub których wsparcie wygasło (ang. end of life – EOL) w celu uzyskania dostępu do sieci i podjęcia złośliwych aktywności. Takie serwery stanowią łatwy cel i często są narzędziem podtrzymującym obecność atakującego w sieci.
• Dotyczy to często systemów, których likwidacja się rozpoczęła, ale nie osiągnięto finalnego etapu polegającego na całkowitym wyłączeniu, a to oznacza, że nadal działają i są podatne na atak.
• Zapewnienie zakończenia likwidacji systemów lub podjęcie właściwych działań w celu usunięcia ich z sieci w znacznym stopniu ogranicza możliwości atakującego.

Poddaj kwarantannie oraz przywróć obrazy systemowe zaatakowanych hostów

• Przywróć obrazy systemowe lub usuń wszelkie zaatakowane systemy, które zostaną odnalezione w sieci.
• Monitoruj i zadbaj o szkolenie użytkowników, aby z ostrożnością podchodzili do jakichkolwiek treści ściąganych ze stron osób trzecich.
• Aby zapobiec przyszłym atakom zablokuj domeny znane z rozpowszechniania złośliwej treści oraz dodaj filtrowanie przeglądanej sieci web w celu zablokowania złośliwych stron w oparciu o kategorie stron
• Wyczyść przenośne media i zbadaj współdzielone zasoby sieciowe użytkowników.
• Popraw istniejące mechanizmy wykrywania malware poprzez narzędzia, które posiadają funkcjonalność typu sandbox.

Wyłącz zbędne porty, protokoły i usługi

• W celu ograniczenia atakującym zakresu możliwych do wykorzystania podatności zidentyfikuj i wyłącz porty, protokoły i usługi, które nie są niezbędne do prowadzenia oficjalnej działalności. Niniejsze obejmuje zarówno komunikację zewnętrzną, jak i wewnętrzną.
• Udokumentuj porty i protokoły, których wykorzystanie jest dozwolone na poziomie korporacyjnym.
• Zabroń dostępu wejściowego i wyjściowego do portów i protokołów niedozwolonych do użytku służbowego.
• Ogranicz listę dozwolonych dostępów do zasobów wyłącznie do tych, które są uzasadnione do użytku służbowego.
• Włącz logi zapory sieciowej dla ruchu wejściowego i wyjściowego, jak również dla logowania przypadków zezwolonego i zablokowanego ruchu.

Ogranicz lub wyłącz logowanie interaktywne dla kont serwisowych dedykowanych usługom

Konta serwisowe są to zwykle konta uprzywilejowane, dedykowane dla konkretnych usług, nie są jednak przywiązane do konkretnego użytkownika domenowego. W związku z tym, że usługi zazwyczaj opierają się o konta uprzywilejowane oraz posiadają uprawnienia administracyjne, często są celem ataku mającego na celu uzyskanie danych uwierzytelniających. Zezwolenie na logowanie interaktywne dla kont serwisowych bardzo utrudnia identyfikację odpowiedzialności w przypadku cyberincydentów.

• Przeprowadź audyt Active Directory (AD) w celu identyfikacji i udokumentowania aktywnych kont serwisowych.
• Ogranicz korzystanie z kont serwisowych poprzez zasady grupy AD.
• Wyłącz logowanie interaktywne poprzez dodanie konta serwisowego do grupy użytkowników z zablokowaną możliwością logowania.
• Ciągle monitoruj aktywność kont serwisowych poprzez dokładne logowanie ich aktywności.
• Wprowadź rotację kont serwisowych oraz zapewnij wdrożenie najlepszych praktyk dotyczących haseł, jednakże bez zakłócenia działania usług.

Wyłącz zbędne narzędzia zdalnego zarządzania siecią

• W przypadku, gdy atakujący (lub malware) uzyska dostęp zdalny do komputera użytkownika, ukradnie dane uwierzytelniające (login/hasło), przejmie sesję dostępu zdalnego lub skutecznie zaatakuje podatność w narzędziach zdalnego dostępu – atakujący (lub malware) uzyska nieograniczoną kontrolę nad siecią korporacyjną. Atakujący może użyć zaatakowanego hosta jako serwera pośredniczącego dla połączeń zwrotnych, co umożliwia mu połączenie z narzędziami zdalnego zarządzania siecią z dowolnego miejsca na świecie.
• Wyłącz wszystkie zdalne narzędzia zarządzania siecią, które nie są niezbędne do codziennego funkcjonowania IT. Uważnie monitoruj i loguj wszelkie zdarzenia dla każdej sesji zdalnego dostępu wymaganej przez departament IT.

Zarządzaj niezabezpieczonymi usługami remote desktop service

Umożliwienie nieograniczonego dostępu do usługi RDP może zwiększyć sposobność podejmowania prób złośliwej aktywności, w tym takich ataków jak: “on-path” oraz „Pass-the-Hash (PtH)”.

• Zaimplementuj bezpieczne rozwiązania zdalnego dostępu do desktopów.
• Ogranicz zakres zaufania usługi RDP w poszczególnych obszarach sieci.
• Zaimplementuj monitoring kont uprzywilejowanych oraz hasła krótkoterminowe dla usług RDP.
• Zaimplementuj ulepszony oraz ciągły monitoring usług RDP poprzez włączenie logowania oraz sprawdzenie, czy wszelkie próby logowania do RDP są uwzględniane w logach.

Resetowanie poświadczeń oraz przegląd polityki dostępu

Resetowanie poświadczeń należy wykonywać w taki sposób, który zapewni, że wszystkie skompromitowane konta i urządzenia zastaną nim objęte, a atakujący nie powinien mieć możliwości ich ponownego przejęcia.

• Wymuszenie resetu haseł; unieważnienie i wydawanie nowych certyfikatów dla zainfekowanych kont/urządzeń.
• W przypadku podejrzenia, że atakujący uzyskał dostęp do Kontrolera domeny, hasła do wszystkich lokalnych kont - takich jak Gość, HelpAssistant, Konto Domyślne, System, Administrator oraz kbrtgt - powinny być zresetowane. Kluczowe jest zresetowanie hasła powiązanego z kontem kbrtgt, bowiem konto to jest odpowiedzialne za obsługę zapytań o tickety Kerberos, jak również ich szyfrowanie i podpisywanie. Konto powinno być zresetowane podwójnie, z uwagi na to, że posiada historię dwóch ostatnich haseł.
  - W celu uniknięcia problemów, po pierwszym resecie hasła konta kbrtgt należy poczekać na jego replikację, a następnie wykonać drugi reset.
• W przypadku podejrzenia wycieku pliku ntds.dit, wszystkie konta użytkowników w domenie powinny być zresetowane.
• Dokonanie przeglądu polityk dostępu w celu tymczasowego cofnięcia uprawnień/dostępu do zainfekowanych kont/urządzeń. Jeżeli nadrzędnym celem jest uniknięcie zaalarmowania atakującego (np. w celach informatyki śledczej), uprawnienia mogą zostać tylko ograniczone, tak aby zachować nad nimi kontrolę.

Łatanie podatności

W celu uzyskania dostępu do zaatakowanego systemu atakujący regularnie wykorzystują podatności oprogramowania i sprzętu.

• Znane podatności w urządzeniach brzegowych oraz serwerach powinny być łatane niezwłocznie, począwszy od punktu ataku, jeżeli jest on znany.
  - Zanim przystąpisz do procesu łatania, upewnij się, że urządzenia brzegowe nie zostały wcześniej zaatakowane.
• Jeżeli miejsce ataku (na przykład: konkretne oprogramowanie, urządzenie końcowe, serwer) jest znane, ale nie ma informacji, jaka podatność została wykorzystana, poinformuj dostawcę (oprogramowania, urządzenia końcowego, serwera), aby mógł on dokonać analizy i przygotować łatę na zidentyfikowaną podatność,
• Należy zastosować się do wskazówek dostawcy dotyczących naprawy, w szczególności zainstalować nowe łaty, kiedy tylko będą dostępne.

Ogólne rekomendacje oraz najlepsze praktyki w okresie poprzedzającym incydent

Odpowiednio wdrożone techniki i programy obronne stanowią utrudnienie dla atakujących, którzy próbują uzyskać dostęp do sieci i utrzymać ten dostęp w tajemnicy. Jeżeli program ochronny został wdrożony, atakujący powinien natknąć się w trakcie próby ataku na szereg barier. Jego obecność powinna zostać szybko wykryta, a reakcja na incydent powinna być szybka i skuteczna. Nie ma uniwersalnego sposobu zapobiegania atakom, a administrator sieci powinien zaimplementować różnego rodzaju narzędzia i techniki, które przed nimi zabezpieczą, a w razie powodzenia ataku zwiększą prawdopodobieństwo jego wykrycia i zminimalizują skutki

Podejście oparte na wielu warstwach ograniczenia ryzyka ataku jest znane jako „defense-in-depth”.

Szkolenie użytkowników

Jeżeli chodzi o bezpieczeństwo organizacji, to użytkownicy końcowi znajdują się na pierwszej linii frontu. Szkolenie użytkowników zarówno w zakresie zasad bezpieczeństwa, jak i działań, które należy bądź też nie należy podejmować w przypadku incydentu, zwiększy odporność organizacji oraz może zapobiec podejmowaniu złych decyzji, które są łatwe do uniknięcia.

• Należy edukować użytkowników, aby zachowali ostrożność przy jakimkolwiek pobieraniu danych ze źródeł zewnętrznych.
• Należy szkolić użytkowników w zakresie rozpoznawania e-maili stanowiących phishing. Istnieje wiele systemów i usług (darmowych oraz płatnych), które można w tym celu wdrożyć i wykorzystać.
• Należy szkolić użytkowników w zakresie umiejętności wskazania odpowiednich grup lub określonych osób, z którymi użytkownik powinien się skontaktować w przypadku podejrzenia incydentu.
• Należy szkolić użytkowników w zakresie działań, które należy lub nie należy podejmować w przypadku podejrzenia incydentu, biorąc pod uwagę jego przyczynę (niektórzy użytkownicy podejmą samodzielną próbę zaradzenia sytuacji, przez co mogą ją pogorszyć).

Allowlisting (lista dozwolonych aplikacji)

• Włącz listę dozwolonych aplikacji poprzez Microsoft Software Restriction Policy (Zasady Ograniczeń Oprogramowania) lub AppLocker.
• Korzystaj z listy dozwolonych aplikacji na poziomie katalogów zamiast podejmować próby tworzenia wszystkich możliwości występowania aplikacji w środowisku sieciowym. Bezpieczne ustawienia domyślne umożliwiają uruchamianie aplikacji z katalogu PROGRAMFILES, PROGRAMFILES(X86) oraz SYSTEM32. Należy uniemożliwić uruchamianie aplikacji z innych lokalizacji, z wyjątkiem odstępstw, na które wyraźnie zezwolono.
• Należy zapobiec uruchamianiu nieautoryzowanego oprogramowania poprzez korzystanie z allowlisting jako elementu instalacji system operacyjnego, a także w trakcie procesu wzmacniania bezpieczeństwa.

Kontrola nad kontami

• Ogranicz możliwości atakującego prowadzące do uzyskania dostępu do kluczowych zasobów sieciowych poprzez wdrożenie zasady przydzielania jak najmniejszych uprawnień.
• Ogranicz możliwość logowania do konta przez lokalnego administratora tylko do lokalnej sesji interaktywnej (np. poprzez odmowę dostępu zdalnego do danego komputera z sieci) – wyłącz możliwość dostępu poprzez sesję RDP.
• Usuń niepotrzebne konta i grupy; ogranicz dostęp na poziomie root (administracyjnym).
• Kontroluj i ogranicz administrowanie lokalne: np. zaimplementuj rozwiązania “Just Enough Administration” (JEA), “Just-in-Time Administration (JIT)” lub wymuszanie trybu PowerShell Constrained Language poprzez politykę UMCI.
• Wykorzystaj funkcjonalność grupy użytkowników chronionych Active Directory w domenach Windows w celu dalszego zabezpieczenia uprzywilejowanych kont użytkowników przed atakami typu pass-the-hash.

Kopie zapasowe

• Zidentyfikuj dane, które są kluczowe dla utrzymania ciągłości działania; regularnie twórz kopie zapasowe.
• W celu zapewnienia możliwości przywrócenia danych w razie incydentu sprawdzaj regularnie, czy kopie zapasowe działają.
• Twórz kopie zapasowe w wersji offline w celu umożliwienia odzyskania danych w przypadku ataku typu ransomware lub w przypadku katastrof (np. pożar, powódź)
• Przechowuj w bezpieczny sposób kopie zapasowe w wersji offline w odrębnej lokalizacji. Jeżeli jest to możliwe, wybierz zewnętrzną lokalizację, która jest oddalona od głównej lokalizacji przechowywania danych oraz która pozostanie nienaruszona w przypadku katastrofy naturalnej o zasięgu regionalnym.

Zarządzanie stacjami roboczymi

• Stwórz i wdróż bezpieczny, bazowy obraz systemu dla wszystkich stacji roboczych.
• Zmniejsz potencjalne zagrożenie poprzez standardowy cykl łatania dziur we wszystkich systemach operacyjnych, aplikacjach i oprogramowaniu, z wyłączeniem łat krytycznych.
• Zastosuj proces zarządzania zasobami i łatami.
• Zmniejsz liczbę zachowanych danych uwierzytelniających do jednego (w przypadku laptopów) lub do zera (w przypadku komputerów typu desktop lub środków trwałych).

Niepożądana aktywność w systemie hosta / wykrywanie i reakcj.

• Skonfiguruj i monitoruj logi systemowe stacji roboczej poprzez zainstalowany system detekcji oraz firewall.
• Wdróż rozwiązania anti-malware na stacjach roboczych w celu zapobieżenia spyware, adware i malware. •
• Zapewnij aktualność rozwiązań anti-malware.
• Regularnie monitoruj wyniki skanów wykonanych przez oprogramowanie antywirusowe.

Zarządzanie serwerem

• 

  Migracje, chmury, systemy.
  RODO w IT.

  Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!

  SPRAWDŹ TERMINY
  Stwórz bezpieczny, bazowy obraz systemu, który należy wdrożyć na wszystkich serwerach.
• Aktualizuj lub zlikwiduj wszelkie serwery inne niż Windows, których wsparcie wygasło (end-of-life).
• Aktualizuj lub zlikwiduj serwery działające w oparciu o system Windows Server 2008 lub starszy.
• Zastosuj proces zarządzania zasobami i łatami.
• Wykonaj audyt w celu wyłączenia zbędnych usług.

Konfiguracja serwera oraz logowanie

•  Wprowadź logowanie i przechowywanie danych związanych z nawiązywaniem sesji zdalnych.
• Zmniejsz liczbę zachowanych danych uwierzytelniających do zera.
• Skonfiguruj i monitoruj logi systemowe poprzez scentralizowany system informacji o bezpieczeństwie i zarządzaniu zdarzeniami - Security Information and Event Management (SIEM).
• Wymuś wartość DENY dla %USERPROFILE%.
• Ogranicz ruch wyjściowy z serwerów.
• W środowiskach Windows korzystaj z trybu administracyjnego typu Restricted lub z modułu Remote Credential Guard, w celu zabezpieczenia sesji pulpitu zdalnego przed atakami typu pass-the-hash.
• Ogranicz anonimowe udostępnianie zasobów.
• Ogranicz dostęp zdalny poprzez użycie dedykowanych tzw. “serwerów przesiadkowych”.
• W systemach Linux korzystaj z SELINUX lub AppArmor w trybie enforcing oraz/lub włącz pełny log audytowy.
• Włącz logowanie powłoki bash; przekazuj te logi, jak i wszystkie inne na serwer zdalny.
• Nie pozwalaj użytkownikom na korzystanie z komendy su. Korzystaj z komendy sudo -l.
• Skonfiguruj automatyczne aktualizacje w programach yum, dnf lub apt.
• Montuj zasób /var/tmp oraz /tmp jako noexec.

Kontroluj zmiany

• Stwórz proces kontroli dla wszystkich zaimplementowanych zmian.

Bezpieczeństwo sieci

• Wdróż system IDS.
  - Wprowadź stały monitoring.
  - Wysyłaj alerty do narzędzia SIEM.
  - Monitoruj aktywność wewnętrzną (to narzędzie może korzystać z tych samych punktów dostępowych, z których korzystają narzędzia netflow).
• Wprowadź przechwytywanie pakietów netflow.
  - Ustaw minimalny okres retencji wynoszący 180 dni.
  - Przechwytuj ruch sieciowy dla wszystkich punktów wejściowych i wyjściowych poszczególnych segmentów sieci, nie tylko w MTIPS/TIC (Managed Trusted Internet Protocol Services / Trusted Internet Connections).
• Przechwytuj cały ruch sieciowy.
  - Przechowuj przechwycony ruch przez minimum 24 godziny.
  - Przechwytuj ruch sieciowy na wszystkich punktach wejściowych i wyjściowych.
• Korzystaj z VPN
  - Wdróż usługę VPN typu site-to-site do połączeń z klientami oraz dostawcami.
  - Uwierzytelniaj użytkowników korzystających z VPN typu site-to-site.
  - Korzystaj z uwierzytelniania, autoryzacji i kontroli dostępu do sieci.
  - Wymagaj uwierzytelnienia przy pomocy kart SmartCard w celu kontroli dostępu do stron HTTPS.
  - Uwierzytelnienie powinno dopuszczać tylko określone karty SmartCard w celu zwiększenia poziomu bezpieczeństwa obydwu sieci biorących udział w połączeniu VPN.
• Zastosuj certyfikowane oraz bezpieczne protokoły tunelowania oraz szyfrowania.
• Dopracuj konfigurację routera (np. unikaj pozostawienia możliwości zdalnego zarządzania routerem poprzez Internet, korzystania z domyślnych zakresów IP, włącz automatyczne wylogowanie po konfiguracji routera, korzystaj z szyfrowania). • Wyłącz funkcję WPS (Wi-Fi Protected Setup), wymuszaj korzystanie z silnych haseł, dbaj o aktualizację firmware routera.
• Popraw bezpieczeństwo zapory sieciowej (firewall), np. poprzez włączenie automatycznej aktualizacji, regularny przegląd reguł bezpieczeństwa, wdrożenie allowlisty, włączenie filtrowania pakietów, wymuszanie korzystania z silnych haseł, szyfrowanie ruchu sieciowego).
  - Jeśli to możliwe, wyłącz dostęp do urządzeń sieciowych poprzez zewnętrzne i niezaufane sieci (w szczególności bezpośredni dostęp z sieci Internet).
• Zarządzaj dostępem do Internetu (np. dostęp do Internetu wyłącznie dla urządzeń/kont, dla których to niezbędne, korzystanie z proxy dla wszystkich połączeń, wyłączenie dostępu do Internetu dla uprzywilejowanych/administracyjnych kont, wprowadzanie polityk ograniczających dostęp do Internetu w oparciu o blocklisty, allowlisty zasobów, rodzaj treści itd.,).
  - Przeprowadzaj regularne skany podatności w wewnętrznych i zewnętrznych sieciach, a także w hostowanej treści (serwisy internetowe), w celu identyfikacji i usunięcia podatności,
  - Zdefiniuj obszary w sieci, które powinny być podzielone na segmenty w celu zwiększenia widoczności ruchu wewnętrznego generowanego przez zagrożenie, co ulepszy obronę typu defense-in-depth.
  - Zorganizuj proces blokowania ruchu do adresów IP oraz domen, które zostały zidentyfikowane jako użyte wcześniej do przeprowadzenia ataków.
• Zweryfikuj i zaplanuj konfigurację bezpieczeństwa Microsoft Office 365 (O365) lub innych usług chmurowych przed ich wdrożeniem.
  - Korzystaj z uwierzytelniania wielopoziomowego. Jest to najlepsza technika ograniczania ryzyka, stosowana w celu ochrony przed kradzieżą danych uwierzytelniających użytkowników i administratorów O365.
  - Chroń Głównych Administratorów przed zagrożeniami oraz korzystaj z zasady “najmniejszego uprzywilejowania”.
  - Uruchom zunifikowane logowanie na poziomie audytowym w ustawieniach bezpieczeństwa i Centrum zgodności O365.
  - Włącz funkcję alertów.
  - Zintegruj z rozwiązaniami SIEM w organizacji.

Rekomendacje dotyczące infrastruktury sieciowej

• Stwórz i wdróż bezpieczny, bazowy obraz systemu dla wszystkich urządzeń sieciowych (np. switche, routery, zapory sieciowe).
• Usuń zbędne pliki systemowe z Cisco IOS (Cisco Internetwork Operating System). To ograniczy liczbę potencjalnych celów wrogiej obecności (np. plików, do których można dodać złośliwy kod) w przypadku, gdy urządzenie zostanie zaatakowane (rozwiązanie zgodne z rekomendacjami National Security Agency „Network Device Integrity” dotyczącymi urządzeń Cisco IOS).
• Usuń podatne na zagrożenia pliki systemowe z Cisco IOS (np. starsze wersje) z ustawień boot urządzenia (zob. komendy show boot lub show bootvar).
• Aktualizuj do najnowszej wersji system operacyjny na urządzeniach Cisco IOS.
• W przypadku urządzeń, na których włączono SSL VPN, rutynowo sprawdzaj ustawienia „customized web objects” ze znanymi, dobrymi plikami organizacji, aby zapewnić, że urządzenia są wolne od nieautoryzowanej modyfikacji,
• Zbadaj narzędzia, które są przygotowane do odpowiedzi na atak, a jeżeli opierają się o zewnętrzne domeny, zapewnij ich aktualizację tak, by spełniały wymagania organizacji. Jeżeli tego nie zrobisz, a zewnętrzna domena wygaśnie, atakujący może zarejestrować ją pod tym adresem i zacząć zbierać dane telemetryczne z Twojej infrastruktury.

Rekomendacje dotyczące hosta

• Wprowadź politykę blokowania połączeń RDP pomiędzy stacjami roboczymi poprzez moduł Obiektów Zasady Grupy (GPO) w systemie Windows lub za pomocą podobnego mechanizmu.
• Przechowuj, przynajmniej przez rok, logi systemowe dla systemów o kluczowym charakterze w narzędziu SIEM.
• Dokonaj przeglądu konfiguracji logów aplikacji w celu weryfikacji, czy gromadzone informacje ułatwią czynności śledcze w ramach reakcji na incydent.

Zarządzanie użytkownikami

• Zmniejsz liczbę kont administratorów domeny oraz administratorów typu enterprise.
• Stwórz zwykłe (nieuprzywilejowane) konta dla użytkowników posiadających uprawnienia do kont uprzywilejowanych i upewnij się, że tacy użytkownicy korzystają ze zwykłych kont do wszystkich czynności, które nie wymagają zwiększonych uprawnień (np. przeglądanie sieci, dostęp do poczty e-mail).
• Jeśli to możliwe, skorzystaj ze środków technicznych w celu wykrycia i zapobieżenia przeglądania sieci z wykorzystaniem kont uprzywilejowanych (np. uwierzytelnienie na serwerach proxy może zablokować administratorów domen).
• Użyj uwierzytelniania dwustopniowego (np. tokeny bezpieczeństwa dla dostępu zdalnego lub jakiegokolwiek dostępu do repozytoriów zawierających dane wrażliwe).
• W przypadku programowych tokenów typu soft nie należy ich przechowywać na tym samym urządzeniu, które wykorzystuje się do dostępu zdalnego (np. laptop), ale na innym urządzeniu, np. na telefonie lub urządzeniu poza ścieżką ruchu sieciowego (out-of-band).
• Rozpocznij śledzenie ról uprzywilejowanych.
• Stwórz proces kontroli zmian dla wszystkich eskalacji uprawnień i zmian ról dla kont użytkowników.
• Uruchom alerty w przypadku eskalacji uprawnień i zmian ról.
• Wprowadź logowanie zmian dotyczących użytkowników uprzywilejowanych w środowisku sieciowym i stwórz alert w przypadku nietypowych zdarzeń.
• Wprowadź kontrolę najmniejszych uprawnień.
• Prowadź szkolenia zwiększające świadomość zagadnień dot. bezpieczeństwa.

Rozdzielenie sieci i funkcji

Właściwy podział sieci na poszczególne segmenty stanowi bardzo skuteczny mechanizm bezpieczeństwa, który powstrzymuje atakującego przed rozpowszechnianiem podatności lub przed przemieszczaniem się wewnątrz sieci wewnętrznej. W przypadku nieprawidłowego podziału sieci atakujący będą w stanie rozszerzyć skutki swojego działania w celu uzyskania kontroli nad urządzeniami o znaczeniu krytycznym lub dostępu do danych wrażliwych lub własności intelektualnej. Osoby odpowiedzialne za architekturę bezpieczeństwa muszą rozważyć ogólny układ infrastruktury, segmentację oraz segregację. Segregacja rozdziela segmenty sieci z uwagi na role oraz pełnione funkcje. Sieć posegregowana w sposób bezpieczny pozwala na ograniczenie zakresu oddziaływania zdarzeń o złośliwym charakterze oraz zmniejszenie zakresu skutków spowodowanych przez atakującego w przypadku, gdy atakujący uzyska dostęp do jakiegoś fragmentu wewnątrz sieci.

Fizyczna separacja danych wrażliwych

Segmenty sieci wewnętrznej (LAN) są oddzielone przez tradycyjne urządzenia sieciowe, takie jak routery, które tworzą barierę między sieciami, zwiększają liczbę propagowanych domen oraz efektywnie filtrują ruch generowany przez użytkowników. Takie bariery mogą być wykorzystane w celu powstrzymania rozszerzenia skutków włamań poprzez ograniczenie ruchu sieciowego pomiędzy segmentami sieci, a nawet zamknięcia niektórych segmentów w trakcie ataku, co w efekcie ogranicza dalszy dostęp atakującego.

Rekomendacje:

• należy zaimplementować zasadę przydzielania jak najmniejszych uprawnień oraz zasadę wiedzy koniecznej przy projektowaniu segmentów sieci;
• należy wyodrębnić dane zawierające informacje wrażliwe oraz wymogi bezpieczeństwa na odrębne segmenty sieci;
• należy wdrożyć rekomendacje dotyczące bezpieczeństwa oraz zabezpieczyć konfigurację odnośnie do wszystkich segmentów oraz warstw sieci.

Wirtualne wyodrębnienie informacji wrażliwych

Wraz ze zmianą technologii rozwijane są nowe strategie, które mają zwiększyć efektywność IT oraz kontrolę bezpieczeństwa sieci. Wirtualne wyodrębnienie stanowi logiczną izolację sieci w ramach tej samej sieci fizycznej. Zasady dotyczące fizycznego wydzielenia sieci mają zastosowanie także do wirtualnego wyodrębnienia, przy czym nie jest wymagany dodatkowy sprzęt. Istniejące technologie mogą być użyte w celu zapobieżenia włamaniu do innych segmentów sieci wewnętrznej.

Rekomendacje:

• korzystaj z prywatnych wirtualnych sieci lokalnych (LAN) w celu wyizolowania użytkownika z reszty propagowanych domen;
• korzystaj z technologii wirtualnego routowania i forwardowania (VRF-Virtual Routing and Forwarding) w celu segmentacji ruchu sieciowego na wiele równocześnie funkcjonujących tablic routowania w ramach jednego routera;
• korzystaj z VPN w celu bezpiecznego rozszerzenia hosta/sieci z wykorzystaniem technik tunnelingu przez prywatne i publiczne sieci.

Dodatkowe najlepsze praktyki:

• wdróż program dokonywania oceny i działań podejmowanych w celu zmniejszenia podatności;
• szyfruj całość danych wrażliwych, zarówno podczas ich przesyłania, jak i przechowywania;
• stwórz plan postępowania na wypadek incydentu bezpieczeństwa (“Insider Threat Program”);
• skieruj dodatkowy personel do przeglądu danych logowania oraz danych pochodzących z alertów;
• przeprowadź niezależne audyty bezpieczeństwa (nie są to audyty compliance);
• stwórz program wymiany informacji; • w celu wsparcia szybkiej reakcji na incydent stwórz i utrzymuj dokumentację sieci oraz systemu zawierającą:
  - schematy sieci,
  - wskazanie właścicieli zasobów
  - rodzaje zasobów oraz
  - aktualny plan reakcji na incydent.