Реагирование на повышенный риск кибератак: сосредоточьтесь на основах


В веб-трансляции Института SANS об эскалации российских кибератак в Украине было сделано несколько выводов. Первое: не паникуйте. Слишком часто в вопросах безопасности мы думаем о худшем; мы можем слишком остро реагировать и усугубить ситуацию. Вместо этого сосредоточьтесь на основах. Во-вторых, нам нужно уделять больше внимания сетевому трафику.

Сначала позаботьтесь об основах безопасности

При проверке вашей сети на наличие потенциальных киберугроз не усугубляйте ситуацию, делая неправильные настройки, которые создадут больше проблем. Уделите время основам и другим проектам, над которыми вам, вероятно, следовало поработать раньше.

Документирование и планирование — это то, чем вам нужно заниматься сейчас, а не вносить изменения и корректировки конфигурации. Притормозите и пересмотрите планы, а не вносите кардинальные изменения. Изменения конфигурации часто приводят к побочным эффектам, которые заставляют вас думать, что идет атака из внешних источников. Веб-сайт находится в автономном режиме. Мы сразу же думаем о кибератаке, но основной причиной часто являются неправильные настройки службы доменных имен (DNS) или проблемы с основной инфраструктурой.

Потратьте время, чтобы просмотреть и рассмотреть целевые точки входа. Изучите уроки атак программ-вымогателей Maersk, которые начались с Украины. Проанализируйте, какие точки входа в бизнес связаны со слабыми звеньями. Просмотрите все подключения виртуальной частной сети (VPN) к вашей сети и их источники. Помните, их безопасность влияет на вашу безопасность. Добавьте двухфакторную аутентификацию к этим подключениям, где это уместно, и подумайте, нужно ли вам вносить временные изменения в то, кто подключается к вашей сети в течение этого времени.

Обычно я рекомендую отложить установку исправлений до тех пор, пока мы не узнаем о каких-либо побочных эффектах, но в зависимости от вашего уровня риска вы можете протестировать обновления в ускоренном порядке и развернуть их раньше, чем обычно. Я также рекомендую просмотреть наиболее часто атакуемые уязвимости и убедиться, что вы исправили их в своей сети.

И последнее, но не менее важное: не становитесь источником финансирования для злоумышленников. Убедитесь, что вы можете восстановиться после атаки программ-вымогателей и не платить выкуп злоумышленникам. Автономное резервное копирование должно быть приоритетом, чтобы обеспечить возможность восстановления в любой ситуации.

Авторское право © 2022 IDG Communications, Inc.

https://cyberxhack.org/