Obecna sytuacja w Ukrainie oraz obowiązujący w Polsce stopień alarmowy CHARLIE-CRP to czas, w którym szczególnie powinniśmy zwrócić uwagę na cyberzagrożenia. Dlatego CERT przygotował zestaw rekomendacji, które powinny zostać wdrożone. Dotyczy to zarówno obywateli, jak i firm.
Rekomendacje dla obywateli:
Przede wszystkim należy zapoznać się z zasadami bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych. A następnie się do nich dostosować.
To czas, w których fake newsy i manipulacyjne informacje mogą być bardzo powszechne. W sytuacji zagrożenia sensacyjne doniesienia mają wyjątkową siłę rażenia. Dlatego tak jeszcze ważniejsze w tym czasie jest weryfikowanie doniesień, informacji, sprawdzanie w różnych źródłach. Jest to podstawowe działanie przed podaniem informacji dalej, a nade wszystko przed podjęciem jakichkolwiek fizycznych działań. Napędzenia strachu, lęków i nakłanianie do pewnych zachowań poprzez dezinformacje i fake newsy jest elementem wojny w XXI wieku.
W przypadku linków w wiadomościach mailowych i SMS-ach należy zachować ostrożność w każdym momencie, ale obecnie jest to jeszcze ważniejsze.
Stwórz kopię zapasową wszystkich ważnych plików i dokumentów. Upewnij się, że potrafisz je przywrócić.
Podejrzaną aktywność, zdarzenia, sytuacje możesz zgłaszać na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084.
Rekomendacje dla firm
Jeśli do tej pory w firmie nie była testowana procedura przywracania kopii zapasowych, to teraz jest ten moment, gdy należy ją przeprowadzić. Ważne żeby zrobić to w praktyce na wybranych systemach, a nie jedynie proceduralnie.
Należy też upewnić się, że kopie zapasowe są odizolowane. Dzięki temu będą bezpieczne nawet w przypadku ataku na infrastrukturę.
Warto pamiętać o aktualizacjach oprogramowania, szczególnie dla tych systemów, które dostępne są przez internet. Sprawdzić można podatności znajdujące się na liście obecnie aktywnie wykorzystywanych w atakach i na nich skupić się szczególnie.
Automatycznie powinny być aktualizowane sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.
Uwierzytelnianie dwuskładnikowe to obecnie konieczność.
To też moment na przejrzenie usług w adresacji firmowej dostępne z internetu. Powinny być ograniczone do minimum. Bezpośredni dostęp nie powinien być możliwy do usług pozwalających na zdalny dostęp jak RDP czy VNC.
Żeby jeszcze lepiej zabezpieczyć się przed zagrożeniami można zapoznać się z poradnikami w tym zakresie. CSIRT KNF przygotował poradnik dotyczący obrony przed atakami DDoS. Jest też poradnik ochrony przed atakami ransomware. CERT natomiast przygotował materiały dotyczące bezpieczeństwa haseł.
Po zapoznaniu się z rekomendacjami w obu przypadkach wypada je także wdrożyć.
W sieci firmowej powinno być wdrożone filtrowanie domen. Może być ono oparte na bazie publikowanych przez CERT list ostrzeżeń. Pozwoli to zablokować domeny złośliwe.
CERT zaleca dołączenie do platformy N6 w przypadku posiadania własnego zakresu adresów IP.
W firmie należy wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania. Pracownicy powinni też zostać przeszkoleni w zakresie dotyczącym podejrzanej aktywności i sposobach jej zgłaszania do tej osoby.
Osoba taka może być jednocześnie osobą kontaktową z CERT. Pozwoli to na szybkie informowanie jej o ostrzeżeniach.
Do właściwego CSIRT-u można zgłaszać tez podejrzane aktywności.
CSIRT GOV — administracja rządowa i infrastruktura krytyczna,
CSIRT MON — instytucje wojskowe,
CSIRT NASK — wszystkie pozostałe.
W przypadku, gdy firma współpracuje z podmiotami na Ukrainie warto wdrożyć jeszcze kilka elementów:
- Sprawdzić reguły dla dostępu sieciowego i ograniczyć dozwolony ruch do minimum
- Monitorować ruch sieciowy, szczególnie ten związany z tymi firmami
- Objąć monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie
- Ostrzec pracowników przed podejmowaniem działań w reakcji na przesyłane informacje
Źródło: cert.pl
