Глобални заплахи за информационните системи

Съвременните способности на организираните хакерски групи и кибер-престъпниците представляват все по-голяма глобална заплаха за информационните системи. Повишаващите се нива на заплаха поставя все повече изисквания към персонала, отговарящ за киберзащитата и към мрежовите администратори, за да се гарантира опазването на информационните системи. Защитата на мрежовата инфраструктура е от решаващо значение за запазване на поверителността, целостта и достъпността на комуникациите и услугите във всяко начинание.

Киберкампании – като NotPetya – са примери за все по-напреднала заплаха от дейността на киберпрестъпниците.  NotPetya криптира файловете на жертвата с динамично генериран 128-битов ключ и създава уникален идентификатор на жертвата. Няма обаче доказателства за връзка между криптиращия ключ и идентификационния номер на жертвата, което означава, че не е възможно нападателят да декриптира файловете на жертвата, дори ако откупа е платен. NotPetya се държи по-скоро като разрушителен злонамерен софтуер, отколкото като типичен ransomware.

NotPetya използва няколко метода за разпространение. Според анализи на злонамерения софтуер, NotPetya опитва следните странични техники за придвижване в заразената мрежа:

  • PsExec – легитимен инструмент за администриране на Windows
  • WMI – Windows Management Instrumentation, легитимен компонент на Windows
  • EternalBlue – exploit  за Windows SMBv1, използван от и WannaCry
  • EternalRomance – друг exploit за Windows SMBv1

Специалистите по киберсигурност препоръчват на организациите да са бдителни и да са наясно за потенциална злонамерена кибердейност преди предстоящи национални празници, включително 28 юни 2018 г. ден на Конституционнията в Украйна. Кампания NotPetya съвпада с национален празник на страната, която е на прицел.

CERT България препоръчва на потребителите и администраторите да приложат следното:

  • Ограничете ненужните странични комуникации.
  • Уверете се, че на системите ви са приложени всички актуализации и установете, че са приложени ъпдейтите на Microsoft за уязвимостта, публикувани с MS17-010 SMB от 14 март 2017 г.
  • Редовно правете резервни копия на данни и тествайте архивите си като част от цялостен план за възстановяване при бедствия.
  • Уверете се, че антивирусните и анти-малуер програмите ви  са с актуални бази и са настроени автоматично да извършват редовни сканирания.
  • Управлявайте използването на привилегировани профили. Прилагайте принципа на най-малките привилегии. Не давайте администраторски достъп на потребителите, освен ако не е абсолютно необходимо. Тези, които имат нужда от администраторски профили, трябва да ги използват само при необходимост.
  • Конфигурирайте контроли за достъп, включително разрешения до файлове, директории и споделени мрежови ресурси, съобразно принципа на най-малките привилегии. Ако потребителят трябва само да чете конкретни файлове, той не би трябвало да има достъп за писане до тези файлове, директории или споделени файлове.
  • Осигурете безопасно използване на WMI, чрез оторизация на WMI потребителите и разрешенията за настройка.
  • Използвайте хост-базирани защитни стени и блокирайте директните комуникации между работните станции, за да се ограничат ненужните странични комуникации.
  • Деактивирайте или ограничете отдалеченото използване на WMI и споделяне на файлове.
  • Блокирайте дистанционното изпълнение чрез PSEXEC
  • Изолирайте мрежите и функциите.
  • Стабилизирайте мрежовите устройства и ги направете по-устойчиви.
  • Защитете достъпа до инфраструктурните устройства.
  • Каналите за управление на мрежа да са извън нея.
  • Уверете се в интегритета на хардуера и софтуера и че няма нерегламентирани промени в тях .
  • Деактивирайте SMBv1 и блокирайте всички версии на SMB на всички гранични устройства на мрежата чрез затваряне на порт 445 по TCP и съответните портове 137-138  по UDP и порт 139 по TCP.

Забележка: Деактивирането или блокирането на SMB може да създаде проблеми, като възпрепятства достъпа до споделени файлове, данни или устройства. Преценете ползите от смекчаването и потенциални смущения за потребителите.

Повече информация може да намерите на:

https://www.us-cert.gov/ncas/tips/ST18-001

https://www.us-cert.gov/ncas/alerts/TA17-181A

https://www.ncsc.gov.uk/guidance/internet-edge-device-security

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

https://govcert.bg/en/news/