Jedním z častých vektorů útoku, skrze který útočníci získávají přístup do sítí obětí, je zneužívání zranitelností. O některých z nich již NÚKIB v minulosti informoval (upozornění naleznete na našich webových stránkách). S ohledem na současné ransomwarové hrozby byla identifikována sada zranitelností, jejichž opravu považuje NÚKIB za klíčovou:
- CVE-2018-13379 (FortiOS)
- CVE-2020-12812 (FortiOS)
- CVE-2023-27997 (FortiOS)
- CVE-2022-41080 (MS Exchange)
- CVE-2022-41082 (MS Exchange)
- CVE-2023-34362 (MOVEit)
- CVE-2023-35036 (MOVEit)
- CVE-2023-35708 (MOVEit)
- CVE-2023-27988 (Zyxel)
- CVE-2023-28771 (Zyxel)
Úspěšný průnik do systémů využívající zmíněné zranitelnosti jako vektor útoku může mít za následek krádež dat ze systémů oběti, jejich zašifrování a následné vydírání jak za účelem dešifrování dat, tak jejich zveřejněním ze strany útočníka. NÚKIB doporučuje ověřit, zda zranitelné aplikace nevyužíváte a pokud ano, aktualizovat je na nejnovější verzi. Výše uvedený výčet aktuálně zneužívaných zranitelností není konečný, a proto je vhodné průběžně aktualizovat operační systémy, programy a aplikace a udržovat je na nejaktuálnější verzi.
Zároveň NÚKIB doporučuje věnovat pozornost také dalším často užívaným vektorům útoku, jako je phishing, kompromitace účtů (doménových/lokálních/VPN), nezabezpečených služeb otevřených do internetu (např. RDP, FTP, SMB…) či kompromitace skrze poskytovatele služeb.
Vedle opravení kritických zranitelností a posílení infrastruktury lze též doporučit nastavení detekčních pravidel na základě dostupných indikátorů kompromitace (IoCs). Subjekty a orgány povinné dle zák. č. 181/2014 Sb., zákon o kybernetické bezpečnosti, mohou využívat sady IoCs sdílené ze strany NÚKIB prostřednictvím platformy Neweb.
Kromě výše uvedeného NÚKIB doporučuje dodržovat základní bezpečnostní opatření k zabezpečení sítě před ransomwarem:
- Vytvářet bezpečné zálohy, uchovávat je mimo infrastrukturu a pravidelně testovat jejich použití.
- Zablokovat služby otevřené do veřejné sítě, vyjma těch nejnutnějších a ty dostatečně zabezpečit.
- Omezit přístup k administrátorským účtům.
- Nastavit skrze bezpečnostní politiky povinnost používat silná a bezpečná hesla.
- Segmentovat síť vaší organizace dle bezpečnostních možností a potřeb.
- Ukládat síťové logy na nezávislém serveru mimo podnikovou síť.
- Zvyšovat povědomí uživatelů o hrozbě ransomware a jeho vektorech.
Detailní přehled jednotlivých opatření a doporučení naleznete v nově aktualizovaném dokumentu RANSOMWARE: DOPORUČENÍ PRO MITIGACI, PREVENCI A REAKCI.
0 Comments