Специалисты по информационной безопасности знают, что киберкриминал просто обожает праздники. Доверчивых людей ожидают мошеннические распродажи, а также фишинг под видом подарков и поздравлений, а для организаций испорченный праздник выглядит, как DDoS-атака на онлайн-сервисы компании (Xbox и Playstation не дадут соврать) или, что того хуже, проникновение хакеров в сеть (привет, BBC). Рождество дает две дополнительные возможности для атаки на сеть. Во-первых, люди расслаблены перед праздником, а следовательно — менее готовы к серьезному инциденту. Во-вторых, из-за многочисленных отпусков некому реагировать на атаку. Значит, противодействие злоумышленникам будет более слабым и менее оперативным. Чтобы минимизировать шансы атакующих, можно заранее принять несколько простых, но достаточно эффективных мер. Разумеется, они не дадут полной гарантии безопасности, но сильно снизят возможности хакеров.
Разлогиньтесь
Как показал 2022-й, мир криминала стал еще более специализированным и разделенным на ниши. Злоумышленники продают первоначальный доступ в сеть организации как услугу, и один из самых распространенных товаров тут — легитимные логины и пароли действующих сотрудников, заранее украденные при помощи вредоносного ПО или фишинга. Усложнить подобную атаку можно с помощью дорогостоящей системы многофакторной аутентификации и внедрения элементов стратегии Zero Trust, но неделя перед Рождеством — точно не то время, когда вы хотите вносить радикальные изменения в систему безопасности.
Однако есть несколько относительно простых рецептов.
- Проверьте, что в списке сотрудников, имеющих доступ через VPN или RDP, нет посторонних лиц, ненужных технических аккаунтов и уволенных коллег. Отзовите доступы у тех, кому они не нужны.
- Смените пароли администраторских аккаунтов и убедитесь, что все дежурные админы точно получили новый пароль. Если у кого-то из них не включена многофакторная аутентификация — самое время ее включить.
- Более радикальная версия предыдущего совета: создайте специальные «аварийные» админские учетные записи для возможной реакции на инциденты в период праздников. В этом случае штатные аккаунты администраторов можно даже временно понизить в правах, чтобы ими не могли воспользоваться атакующие.
- Деактивируйте ненужные сессии, которые сотрудники оставили на каких-либо устройствах на длительное время. Это касается в том числе корпоративного мессенджера, веб-приложений и любых других сервисов.
- Оборвите ненужные VPN-соединения.
Установите патчи
Еще один распространенный способ проникновения в корпоративную сеть — эксплуатация незакрытых уязвимостей. И несомненный лидер по популярности среди хакеров — дыры в корпоративной серверной инфраструктуре, такие как ProxyShell (CVE-2021-34473). Они позволяют эффективно проникать в самые «вкусные» части сети и эффективно захватывать дополнительные серверы, вплоть до доменного контроллера. Поэтому проверить и установить перед праздниками свежие патчи для всех ключевых приложений — совсем не праздная мысль. Разумеется, это гораздо проще сделать при наличии защитных решений со встроенной системой патч-менеджмента.
Назначьте ответственных
В письменном виде назначьте ответственных за реакцию на инциденты. Все вовлеченные должны знать распределение ролей, ключевые люди обязаны быть доступны для звонка 24/7 и готовы подключиться онлайн. В случае серьезной атаки и корпоративные мессенджеры, и почта могут оказаться недоступны, поэтому важно иметь резервные каналы связи, в которые добавлены все участники «тревожной группы».
Проведите учения
Если у вас есть доступ к системе повышения осведомленности сотрудников в сфере ИБ, самое время провести учения, разослав фишинг «рождественской» тематики. Тем, кто на него попался, стоит пройти учебный курс заново, а также сменить пароли перед праздниками.
Если такой системы у вас пока нет, как минимум стоит разослать по сотрудникам письмо с напоминанием быть бдительными, приложив пару скриншотов «новогоднего» фишинга для примера.
Обдумайте внедрение MDR
Если в процессе подготовки к отражению атак в период праздников вы поймете, что ваша команда не готова спасать компьютерную сеть в режиме 24/7, возможно, стоит задуматься о привлечении специалистов по Managed Detection and Response. По сути, это аутсорсинговая команда для решения ИБ-задач. MDR-провайдеры могут развернуть решения на базе ведущих ИБ-продуктов довольно быстро, но за неделю до Рождества решить эту задачу будет все же сложно. Так что переход на MDR может стать целью на следующий год — именно MDR является эффективным решением для компаний, которые пока не могут себе позволить «рождественский дозор» 24/7.