В веб-трансляции Института SANS об эскалации российских кибератак в Украине было сделано несколько выводов. Первое: не паникуйте. Слишком часто в вопросах безопасности мы думаем о худшем; мы можем слишком остро реагировать и усугубить ситуацию. Вместо этого сосредоточьтесь на основах. Во-вторых, нам нужно уделять больше внимания сетевому трафику.
Сначала позаботьтесь об основах безопасности
При проверке вашей сети на наличие потенциальных киберугроз не усугубляйте ситуацию, делая неправильные настройки, которые создадут больше проблем. Уделите время основам и другим проектам, над которыми вам, вероятно, следовало поработать раньше.
Документирование и планирование — это то, чем вам нужно заниматься сейчас, а не вносить изменения и корректировки конфигурации. Притормозите и пересмотрите планы, а не вносите кардинальные изменения. Изменения конфигурации часто приводят к побочным эффектам, которые заставляют вас думать, что идет атака из внешних источников. Веб-сайт находится в автономном режиме. Мы сразу же думаем о кибератаке, но основной причиной часто являются неправильные настройки службы доменных имен (DNS) или проблемы с основной инфраструктурой.
Потратьте время, чтобы просмотреть и рассмотреть целевые точки входа. Изучите уроки атак программ-вымогателей Maersk, которые начались с Украины. Проанализируйте, какие точки входа в бизнес связаны со слабыми звеньями. Просмотрите все подключения виртуальной частной сети (VPN) к вашей сети и их источники. Помните, их безопасность влияет на вашу безопасность. Добавьте двухфакторную аутентификацию к этим подключениям, где это уместно, и подумайте, нужно ли вам вносить временные изменения в то, кто подключается к вашей сети в течение этого времени.
Обычно я рекомендую отложить установку исправлений до тех пор, пока мы не узнаем о каких-либо побочных эффектах, но в зависимости от вашего уровня риска вы можете протестировать обновления в ускоренном порядке и развернуть их раньше, чем обычно. Я также рекомендую просмотреть наиболее часто атакуемые уязвимости и убедиться, что вы исправили их в своей сети.
И последнее, но не менее важное: не становитесь источником финансирования для злоумышленников. Убедитесь, что вы можете восстановиться после атаки программ-вымогателей и не платить выкуп злоумышленникам. Автономное резервное копирование должно быть приоритетом, чтобы обеспечить возможность восстановления в любой ситуации.
Мониторинг сетевого трафика на наличие аномалий
SANS рекомендует вам проверить, какие ресурсы у вас есть для мониторинга сетевого трафика, чтобы узнать, кто может находиться в вашей сети. В частности, рассмотрите NetFlow, широко используемый сетевой протокол, созданный Cisco, который собирает активный сетевой IP-трафик, когда он поступает или выходит из интерфейса. Он отслеживает точку отправления, назначения, объем и пути в сети.
Сначала обратите внимание на свои граничные устройства, брандмауэры и другие устройства, которые контролируют входящий и исходящий сетевой трафик в вашей сети. Даже брандмауэр небольшой фирмы, вероятно, может поддерживать этот уровень расследования. Начните с извлечения руководства по брандмауэру и проверьте, можете ли вы включить ведение журнала трафика NetFlow. Недостаточно включить его; вам нужно зарегистрировать его, чтобы вы могли вернуться и исследовать вредоносный трафик постфактум.
NetFlow — это не только вредоносный трафик. Это также средство устранения узких мест и оптимизации использования полосы пропускания. Трафик NetFlow нельзя использовать только для одного сеанса; он предоставляет больше информации, когда он накапливается. Ключевым моментом является включение анализа NetFlow и его сохранение, чтобы вы могли позже просмотреть закономерности. Используйте такие ресурсы, как Splunk, для хранения и дальнейшего анализа информации, которую вы получаете из своей сети. Вы также можете использовать облачное хранилище, такое как Azure Sentinel, для хранения и просмотра информации NetFlow.
Другие варианты мониторинга сетевого трафика
Другие платформы выполняют аналогичные функции и могут предоставлять столько же или даже больше информации, чем NetFlow. Для тех из вас, у кого есть лицензия Microsoft 365 E5 или Microsoft Defender для бизнеса (в настоящее время общедоступная предварительная версия), консоль Complex Danger Coverage предоставляет аналогичную информацию о взаимодействии событий на ваших рабочих станциях и серверах.
Наложение на Defender для облачных приложений также может отслеживать потоки через SaaS и другие облачные платформы. Защитник для конечной точки может позволить вам просматривать исходный IP-адрес, целевой IP-адрес, а также исходный порт и порт назначения. Он также предоставляет информацию о процессе, а также URL-адрес веб-сайта, участвующий в взаимодействии. Вложите ресурсы в понимание вашего обычного сетевого трафика и внешних IP-адресов, которым вам нужно доверять для ведения бизнеса.
Авторское право © 2022 IDG Communications, Inc.
https://cyberxhack.org/