Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity
Najlepsze kursy internetowe w kategorii IT i oprogramowanie

Artykuły

Lekcja cyberbezpieczeństwa dla samorządów lokalnych

CyberedukacjaAmerykańska DHS CISA nazywa ransomware “największym cybernetycznym czynnikiem ryzyka” dla systemów informatycznych administracji Stanów Zjednoczonych. Podobne rozpoznanie problemu wynika z tego, że wystarczy jeden zainfekowany użytkownik z najwyższym poziomem uprawnień, aby wyłączyć tysiące serwerów i spowodować tygodnie utrudnień dla milionów obywateli - klientów.

W mediach ciszej o zagrożeniach ransomware, tymczasem stają się coraz bardziej wyrafinowane, czego dowodzą zablokowane ostatnio do poziomu offline organizacje sektora publicznego w USA. Atak ransomware dokonany w maju br. na infrastrukturę samorządu Baltimore doskonale ilustruje konsekwencje: żądania okupu wielkości stu tysięcy dolarów i dwa tygodnie z okaleczonymi systemami. W sierpniu tego roku ponad dwadzieścia organizacji powiązanych z samorządem lokalnym w Teksasie stało się celem podobnego ataku.

Przyjęty przez cyberprzestępców model rozwija się, zaś granice geograficzne nie stanowią dla niego przeszkody. Samorządy lokalne są na celowniku cyberprzestępców ponieważ są łatwym celem - bardzo rzadko przeznaczają na cyberochronę środki finansowe odpowiednie do wymaganego dziś poziomu zabezpieczeń.

Ransomware na poważnie
Gdy oprogramowanie ransomware uderzy, jest już w zasadzie za późno. Konsekwencje finansowe i wizerunkowe ataku są ogromne. Koszty naprawy i usunięcia ransomwarowej infekcji nie należą do niskich. Baltimore oszacowało straty wynikające z ww. ataku (z kosztami przywrócenia systemów włącznie) na 18 milionów USD.

Niezbędnik anty-ransomware dla JST:

• Solidna strategia cyberochrony. Warto wdrożyć kulturę pracy opartą na zasadzie „najpierw bezpieczeństwo”. Koszt początkowy może się wydawać zniechęcający - szczególnie dla mniejszych jednostek, niemniej w porównaniu z kosztami ataku ransomware jest znikomy.  

• Uwierzytelnianie dla aplikacji sieciowych/internetowych. Ograniczenie możliwości logowania przez Internet solidną autoryzacją wieloskładnikową jest pierwszym krokiem w zapobieganiu atakom ransomware. Działania minimum: należy się upewnić, że hasła domyślne i uwierzytelnianie, o którym wiadomo, że zostało naruszone (np. wyciek hasła, loginu), zostaną natychmiast usunięte.

• Szkolenia pracowników. Uzbrojenie zespołu w wiedzę o konsekwencjach ataków ransomware i przejawów ich występowania, na które należy zwrócić uwagę jest niezbędne. Wzrost świadomości technik pishingowych (podszywania się hakerów pod instytucje, firmy) powinien być priorytetem. Pracownicy powinni zwyczajowo poddawać w wątpliwość bezpieczeństwo załączników i linków z podejrzanych maili. Przestępcy najczęściej podszywają się pod marki takie jak Facebook, Microsoft Office Exchange, and Apple , ale równie dobrze mogą podawać się za dużego dostawcę energii elektrycznej czy spółkę komunalną.

• Skanowanie i filtrowanie ruchu internetowego. Postaw na widoczność i kontekst szyfrowanego ruchu internetowego. Gdy złośliwe strony, załączniki czy ruch C&C (komunikacja z serwerami Command&Control) jest widoczny, można go automatycznie zablokować zanim nastąpi infekcja. Większość złośliwego - szkodliwego oprogramowania jest hostowana na doskonale znanych (zaufanych) stronach, więc kluczowe jest deszyfrowanie ruchu SSL/TLS dla zapewnienia widoczności i możliwości sprawdzenia treści przez narzędzia ochrony.

• Tworzenie kopii zapasowych ważnych plików. Backup musi obejmować krytyczne systemy i obszary związane z danymi osobowymi. Kopie zapasowe powinny także być przechowywane offline dla ochrony przed atakiem ransomware. Wskazane są także symulacje odzyskiwania systemów po awarii, aby uniknąć scenariusza jak w Baltimore.

• Separacja sieci. Najgroźniejsze malware i ransomware swobodnie łączą się z każdym dostępnym systemem, w chwili połączenia ich z siecią. Dlatego warto unikać płaskich struktur sieciowych. Oznacza to, że zainfekowany system należy przepuszczać przez filtr czy dodatkowe punkty dostępu zanim wyjdzie z lokalnej grupy zasobów.

• Pogłębiona ochrona. Warto wprowadzić kilka różnych z natury, zazębiających się o siebie narzędzi (blokad-zapór), które mogą spowalniać i zatrzymywać wszystkie znane rodzaje ataków hakerskich.

Pierwszą linią obrony jest zatrzymanie ataku zanim dotrze on do któregokolwiek systemu. Bezpośrednie koszty spowolnienia lub zatrzymania działań operacyjnych trudno ignorować - dlatego inwestycję związaną z kontrolerami bezpieczeństwa ransomware łatwo uzasadnić.

Dotychczas ataki ransomware uderzały w fizyczne komputery przeznaczone do ogólnych zadań, ale to tylko kwestia czasu, zanim staną się dużym problemem dla urządzeń IoT, smartfonów a także systemów chmurowych.


Ireneusz WiśniewskiAutor: Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland

 

 

 

 

 

 

Logowanie i rejestracja