Komunikaty

Rekomendacje w związku ze zwiększonym zagrożeniem w cyberprzestrzeni

W związku z napiętą sytuacją na Ukrainie oraz wprowadzeniem stopnia alarmowego CHARLIE-CRP, CERT Polska przygotował rekomendacje dla obywateli i firm, których wdrożenie uważa za konieczne, fot. FB/@CERT.Polska
podpis źródła zdjęcia

W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, CERT Polska przygotował rekomendacje dla obywateli i firm, których wdrożenie uważa za konieczne. Jeśli do tej pory Twoja firma nie testowała nigdy procedury przywracania kopii zapasowych, to jest to właściwy moment na zrobienie tego.

Rekomendacje dla obywateli

  1. Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.

  2. Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.

  3. Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowano już w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.

  4. Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.

  5. Śledź ostrzeżenia o nowych scenariuszach ataków na mediach społecznościowych CERT Polska: Twitter, Facebook.

  6. Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. CERT Polska rekomenduje zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:
  1. Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.

  2. Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.

  3. Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.

  4. Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.

  5. Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.

  6. Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.

  7. Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez CERT Polska ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.

  8. Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.

  9. Zapoznać się z poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.

  10. Zapoznać się z materiałami dotyczącymi bezpieczeństwa haseł.

  11. Zapoznać się z artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.

  12. W przypadku posiadania własnego zakresu adresów IP CERT Polska zaleca dołączenie do platformy N6. Za jej pośrednictwem udostępniana jest na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez CERT Polska w podanym zakresie adresowym.

  13. Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.

  14. Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.

  15. Zgłosić do CERT Polska osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu CERT Polska będzie w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.

  16. Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:
CSIRT GOV — administracja rządowa i infrastruktura krytyczna,
CSIRT MON — instytucje wojskowe,
CSIRT NASK — wszystkie pozostałe.

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

  1. Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.

  2. Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.

  3. Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.

  4. Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty

Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego, prowadzącego działalność naukową, krajowy rejestr domen .pl i dostarczającego zaawansowane usługi teleinformatyczne.

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty.

Dzięki prężnej działalności od 1996 roku w środowisku zespołów reagujących, stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego.
źródło: CERT Polska, fot. FB/@CERT.Polska
Pobierz aplikację  TVP POLONIA
Aplikacja mobilna TVP POLONIA - Android, iOS, AppGallery
Więcej na ten temat