W niniejszej mini serii na temat zaradzaniu atakowi i radzeniem sobie z następstwami ataku typu ransowmare oraz wyłudzania danych, w zeszłym tygodniu omówiliśmy obszary przygotowania się na nie, a także najlepsze praktyki w zakresie zapobiegania, podzielone na kategorie na podstawie typowych używanych punktów wejścia.

Dziś kontynuujemy temat,

Najlepsze praktyki i wskazówki dotyczące utwardzania

Przyjąć gruntowną i wszechstronną strategię zarządzania swoimi aktywami

• Zyskaj wszechstronną wiedzę na temat zasobów informatycznych swojej organizacji, przeprowadzając dokładną inwentaryzację, obejmującą zarówno elementy logiczne, takie jak dane i oprogramowanie, jak i elementy fizyczne, takie jak sprzęt.
• Upewnij się, że znasz dane lub systemy, które mają największe znaczenie dla zdrowia i bezpieczeństwa, generowania przychodów lub innych krytycznych usług w Twojej organizacji. Zrozum związane z tym współzależności, takie jak wiedza, że ​​„lista systemów„ A ”używana do wykonywania„ X ”jest przechowywana w krytycznym zasobie„B”. Ta wiedza pomoże Twojej organizacji w ustaleniu priorytetów odbudowy w przypadku incydentu. Wdrażaj bardziej rozbudowane kontrole bezpieczeństwa lub zabezpieczenia specjalnie dostosowane do ochrony tych krytycznych zasobów. Osiągnięcie tego wymaga koordynacji w całej organizacji.
• Upewnij się, że bezpiecznie przechowujesz dokumentację dotyczącą zasobów IT i przechowujesz kopie zapasowe offline oraz fizyczne kopie na miejscu.

Zastosuj zasadę najmniejszych uprawnień do wszystkich systemów i usług 

• Upewnij się, że uprawnienia użytkownika są ograniczone, jeśli chodzi o instalowanie i uruchamianie aplikacji.
• Ogranicz uprawnienia użytkowników i ról do uzyskiwania dostępu do zasobów w chmurze lub ich modyfikowania.
• Podejmij kroki, aby ograniczyć niektórym użytkownikom lub rolom wykonywanie działań na kluczach zarządzanych przez klienta.
• Używaj zasad grupy do blokowania zdalnego dostępu dla kont lokalnych i zapoznaj się z wytycznymi firmy Microsoft dotyczącymi blokowania zdalnego korzystania z kont lokalnych i identyfikatorów zabezpieczeń.
• Zaimplementuj usługę Windows Defender Remote Credential Guard i ograniczony tryb administratora dla sesji Remote Desktop Protocol (RDP).
• Usuń niepotrzebne konta i grupy oraz ogranicz dostęp administratora.
• Kontroluj i ograniczaj administrację lokalną.
• Regularnie kontroluj usługę Active Directory (AD) w celu identyfikacji nadmiernych uprawnień na kontach i członkostwach w grupach.
• Wykorzystaj grupę Protected Users AD w domenach Windows, aby zwiększyć bezpieczeństwo kont użytkowników uprzywilejowanych przed atakami typu pass-the-hash.
• Przeprowadzaj kwartalne audyty kont użytkowników i administratorów w celu identyfikacji nieaktywnych lub nieautoryzowanych kont, ze szczególnym uwzględnieniem zdalnego monitorowania i zarządzania kontami, które mogą być publicznie dostępne. Obejmuje to audytowanie dostępu stron trzecich przyznanego dostawcom usług zarządzanych (MSP).

Upewnij się, że wszystkie hiperwizory i odpowiadająca im infrastruktura IT, w tym komponenty sieciowe i pamięci masowej, są regularnie aktualizowane i wzmacniane

Wśród ataków ransomware rośnie tendencja do atakowania serwerów VMware ESXi, hiperwizorów i innych scentralizowanych narzędzi i systemów. Pozwala to na szybkie szyfrowanie infrastruktury na dużą skalę.

Wykorzystaj najlepsze praktyki branżowe i aktywuj ustawienia zabezpieczeń w połączeniu ze środowiskami chmurowymi, aby udoskonalić ogólne środki bezpieczeństwa

• Zbadaj model współdzielonej odpowiedzialności za usługi w chmurze i upewnij się, że zrozumiałeś obowiązki klienta w zakresie ochrony zasobów.
• Regularnie twórz kopie zapasowe danych, w trybie offline lub za pośrednictwem kopii zapasowych z chmury do chmury.
• Aktywuj rejestrowanie wszystkich zasobów i ustanawiaj alerty dotyczące nietypowych wzorców użytkowania.
• Włącz ochronę przed usunięciem lub blokadę obiektów w zasobach pamięci masowej, które często są celem ataków oprogramowania wymuszającego okup (takich jak pamięć obiektowa, pamięć bazy danych, pamięć plików i pamięć blokowa), aby zapobiec usuwaniu lub zastępowaniu danych.
• Rozważ włączenie kontroli wersji w celu przechowywania wielu wersji obiektów w pamięci masowej, ułatwiając odzyskiwanie po niezamierzonych lub złośliwych działaniach.
• Gdy tylko jest to możliwe, korzystając z niestandardowego dostępu programistycznego do chmury, stosuj podpisane żądania interfejsu programowania aplikacji (API) w celu uwierzytelnienia tożsamości osoby żądającej. Zapewnia to ochronę danych podczas przesyłania i zabezpiecza przed różnymi atakami.

Podejmij działania w celu ograniczenia możliwości złośliwego wykorzystania oprogramowania do zdalnego dostępu oraz zdalnego monitorowania i zarządzania (RMM)

• Przeprowadzaj audyty narzędzi zdalnego dostępu obecnych w Twojej sieci, aby zidentyfikować wszelkie autoryzowane oprogramowanie do zdalnego monitorowania i zarządzania (RMM).
• Analizuj dzienniki pod kątem nietypowych wzorców użytkowania lub przypadków oprogramowania RMM działającego jako przenośne pliki wykonywalne.
• Korzystaj z oprogramowania zabezpieczającego, które może identyfikować przypadki, w których oprogramowanie RMM jest ładowane wyłącznie do pamięci.
• Egzekwuj wymaganie, aby autoryzowane rozwiązania RMM były używane wyłącznie w Twojej sieci, z wykorzystaniem zatwierdzonych metod zdalnego dostępu, takich jak VPN lub interfejsy pulpitu wirtualnego (VDI).
• Wdrażaj środki ochrony sieci w celu blokowania połączeń przychodzących i wychodzących na dobrze znanych portach i protokołach RMM.

Wdróż architekturę zerowego zaufania

Zaimplementuj architekturę Zero Trust Architecture (ZTA) i wykorzystaj zarówno metody logiczne, jak i fizyczne, aby uzyskać segmentację sieci w swojej organizacji. Obejmuje to oddzielenie różnych jednostek biznesowych lub departamentalnych zasobów IT oraz zachowanie wyraźnego rozróżnienia między technologią informatyczną a technologią operacyjną. Stosując segmentację sieci, można skutecznie ograniczyć wpływ wszelkich włamań i uniemożliwić lub ograniczyć ruch poprzeczny złośliwych aktorów. Należy jednak pamiętać, że segmentacja sieci może zostać naruszona z powodu błędu użytkownika lub nieprzestrzegania zasad organizacji, takich jak podłączanie wymiennych nośników pamięci lub innych urządzeń do wielu segmentów. Kluczowe znaczenie ma egzekwowanie przestrzegania tych zasad w celu utrzymania skuteczności segmentacji sieci.

Ogranicz użycie programu PowerShell do określonych użytkowników na podstawie indywidualnych przypadków, korzystając z zasad grupy 

Upewnij się, że zaktualizujesz program Windows PowerShell lub PowerShell Core do najnowszej wersji i usuniesz wszystkie poprzednie wersje z systemu. Ponadto upewnij się, że wystąpienia programu PowerShell z najnowszą wersją mają włączone ulepszone rejestrowanie dla modułów, bloków skryptów i transkrypcji. 

• Dzienniki programu PowerShell dostarczają cennych informacji, w tym historycznych interakcji z systemem operacyjnym i rejestrem, a także potencjalnych taktyk, technik i procedur stosowanych przez cyberprzestępców korzystających z programu PowerShell.
• Należy przeprowadzać regularne kontrole, aby sprawdzić, czy dane dziennika nie zostały usunięte lub rejestrowanie nie zostało wyłączone. Ustaw limit wielkości magazynu dla obu dzienników na maksymalną możliwą pojemność.

Bezpieczne kontrolery domeny (DC)

Aby zwiększyć bezpieczeństwo kontrolerów domeny (DC) i chronić przed złośliwymi aktorami, zaleca się korzystanie z najnowszej obsługiwanej wersji systemu Windows Server dla Twojej organizacji. Nowsze wersje systemów operacyjnych Windows Server oferują zaawansowane funkcje zabezpieczeń, w tym zintegrowane środki zaprojektowane specjalnie w celu ochrony usługi Active Directory.

• Regularnie stosuj poprawki do kontrolerów domeny (DC), aby zapewnić ich aktualność, priorytetowo traktując krytyczne poprawki luk w zabezpieczeniach do natychmiastowego wdrożenia.
• Weryfikuj bezpieczeństwo kontrolerów domeny za pomocą narzędzi do testowania penetracyjnego typu open source.
• Zminimalizuj instalację oprogramowania lub agentów na kontrolerach domeny, aby zmniejszyć ryzyko wykonania dowolnego kodu w systemie.
• Ogranicz dostęp do kontrolerów domeny wyłącznie do grupy Administratorzy. Użytkownicy w tej grupie powinni być ograniczeni, a do codziennych operacji powinny być używane osobne konta z uprawnieniami nieadministracyjnymi.
• Skonfiguruj zapory hosta na kontrolerach domeny (DC), aby blokować dostęp do Internetu. Zasadniczo DC nie wymagają bezpośredniego połączenia z Internetem. Zamiast tego można wyznaczyć serwery z dostępem do Internetu do pobierania niezbędnych aktualizacji w imieniu kontrolerów domeny.
• Zaimplementuj rozwiązanie do zarządzania dostępem uprzywilejowanym (PAM) na DC, aby ułatwić zarządzanie i monitorowanie dostępu uprzywilejowanego. Rozwiązania PAM zapewniają również funkcje rejestrowania i ostrzegania w celu identyfikacji wszelkich nietypowych działań.
• Aktywuj dodatkowe zabezpieczenia uwierzytelniania LSA, aby zapobiec wstrzykiwaniu kodu, który może potencjalnie zagrozić poświadczeniom systemowym. Przed włączeniem tych zabezpieczeń przeprowadź audyt lsass.exe, aby uzyskać wgląd w programy, na które może mieć wpływ aktywacja tego środka bezpieczeństwa.

Przechowuj i odpowiednio zabezpieczaj dzienniki z urządzeń sieciowych, lokalnych hostów i usług w chmurze

• Stworzenie scentralizowanego systemu zarządzania dziennikami z wykorzystaniem narzędzia do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM). Umożliwia to organizację konsolidacji dzienników z różnych urządzeń zabezpieczających sieci i hosty. Analizując dzienniki z wielu źródeł, organizacja może oceniać poszczególne zdarzenia i oceniać ich wpływ na ogólny stan bezpieczeństwa.
• Upewnij się, że dzienniki systemów krytycznych są konsekwentnie utrzymywane i tworzone są kopie zapasowe, najlepiej przez okres co najmniej jednego roku, aby w razie potrzeby ułatwić długoterminowe analizy i dochodzenia.

Ustanów linię bazową bezpieczeństwa normalnego ruchu sieciowego i dostosuj urządzenia sieciowe do wykrywania nietypowych zachowań

Skonfiguruj oparte na hoście produkty zabezpieczające, aby zoptymalizować ich zdolność do identyfikowania nieprawidłowych plików binarnych, wykrywania ruchu bocznego w sieci oraz identyfikowania technik utrwalania wykorzystywanych przez złośliwe podmioty. Dopracowanie tych środków bezpieczeństwa zwiększy ogólną zdolność do skutecznego wykrywania potencjalnych zagrożeń i reagowania na nie.

O tym artykule

Ten artykuł został napisany na podstawie przewodnika opracowanego przez amerykańską Joint Ransomware Task Force, zatytułowanego „#StopRansomware Guide”. Kliknij tutaj, aby przeczytać cały przewodnik.

Powiązane wpisy

Dodaj komentarz