Oddělení ICT: Jak dostat firmu do novin?

Blog

 
 Petr Vlk

Přemýšlejí kolegové z marketingu, jak spolehlivě dostat vaši firmu na přední stránky novin? Máme pro vás zaručený tip, jak tomu můžete právě vy, z ICT oddělení, pomoci. Nechte se napadnout ransomware a nesnažte se to utajit.

Ransomware. Spolehlivá cesta na titulku.

Asi byste museli vypnout televize, rádia i ty internety, aby vám uniklo, co se odehrálo v několika českých organizacích v posledních měsících. Po útoku ransomware se řada z nich vrátila z doby digitální téměř do pravěku. U nás věc relativně nová, v zahraničí denní chléb novináře.

Reklama, byť negativní, to ovšem byla nevídaná. Ale zkuste si zaplatil logo ve vysílacím čase a na titulní straně tištěných novin i všech oborových tiskovin. Levné to nebude. V takovém případě začíná nejen krizová komunikace, ale také krizové řízení ICT.

Většinou se při vyšetřování podobného incidentu objeví kolega „Někdo“. Kolega, který pracuje na část úvazku skoro v každé druhé společnosti. Protože tenhle kolega:

  • Někdo nevěřil.

  • Někdo nechtěl.

  • Někdo neaktualizoval.

  • Někdo nereagoval.

  • Někdo správně nenastavil.

  • Někdo koupil a zapomněl.

  • Někdo považoval Heslo1 za heslo.

  • Někdo nedodržel postup, směrnici, standard.

  • Někdo považoval razítko od auditora za dostačující.

Někdo považoval bezpečnost skrze neznalost za funkční.

Když už k incidentu, o kterém slyšela polovina republiky, došlo, nezbývá než prohlásit obligátní věty stylu, že vlastníte kvalitní tým předních ICT specialistů, pracujete v koordinaci s bezpečnostními složkami a do uzavření celého incidentu a šetření se k celé věci nemůžete vyjadřovat.

Na pozadí pak doufáte ve vyšumění incidentu. Tiše čekáte konečnou účtenku za ztrátu na zisku. A připravujete tiskovou zprávu, jak se podařilo heroickým výkonem onomu týmu předních odborníků s celým tím zlým světem okolo popasovat. Ideálně ve formě příspěvku na vážené konferenci.

Zatímco kolegové v marketingu sledují s úsměvem rostoucí graf počtu hledání fráze ransomware v kombinaci s názvem firmy, vy prostě musíte věřit, že ten stejný výše uvedený kolega „Někdo“ najednou svoji práci udělá pořádně. Nebo aspoň lépe než minule.

A i tento kolega je důvodem i pro tento článek. Abyste na jeho místo našli třeba schopnější kolegyni Některou. Protože ona už vám vysvětlí, že se to může stát i vám!

Identita. Zařízení. Aplikace. Data.

Pokud tedy nechcete tento, v uvozovkách, levný marketing využít, pojďme si představit deset základních bodů, na které se soustředit. Bodů týkajících se základnách pilířů pro bezpečnost ICT. Bezpečnost nebránící uživatelům v každodenní činnosti. Nejedná se samozřejmě o žádné dogma. Ale o rozumný start.

Bod první: Neprůstřelné zálohování.

Správné zálohování je nutností. Protože musíme pracovat s myšlenkou, že i sebelepší zabezpečení někdo může překonat. Je to jen otázka času, financí a kvality znalostí útočníka versus obránce. Nebo prosté pravděpodobnosti, že dojde k selhání. Člověka nebo samotného stroje.

Ovšem zálohování samo o sobě nemusí pomoci. Je pouze reakcí na incident. Ovšem reakcí, u které je nutné si uvědomit, že většinou vede k obnově do stavu před incidentem. Pravděpodobně do stavu, kdy ke stejnému incidentu může dojít znovu.

Zároveň není řešením oné mediální krize, protože se zálohování tak nějak již očekává. Očekává se, že budete do tisku dávat informace, kolik procent prostředí, systémů a dat je již obnoveno.

Zda máte nastavenu strategii zálohování správně a kvalitně, se ukáže až ve chvíli, kdy musíte provést obnovu. Nemyslete tedy prosím na zálohování z pohledu, kolik kopií dat a kde máte uloženo. Ale jak dokážete provést obnovu. Souboru. Systému. Či celého prostředí na zelené louce.

Tip: OneDrive for Business dokáže obnovit data až 30 dní zpět. Uložit do něj můžete dokumenty i plochu z počítače s Windows 10. Ten společně s Windows Defender umí znemožnit data neznámé aplikaci vůbec zašifrovat. Azure Backup či Azure Site Recovery vám pak dovolí obnovit data ze zbývajících serverů či celou produkci spustit v cloudu v případě výpadku či incidentu lokálního prostředí.

Že ještě nezálohujete? S pomocí Azure a Synology můžete začít na pár kliknutí.

Bod druhý: Pravidelné aktualizace.

O většině incidentů bychom se nedozvěděli, pokud by všechny aplikace i systémy v prostředí byly řádně aktualizovány. Protože by k incidentům prostě a jednoduše ani nedošlo. Většina necílených hrozeb využívá zranitelností, které opravují nové verze. A to nikoliv verze, které vyšly včera, ale třeba i před několika lety.

Najít v prostředí systémy, které jsou mimo podporu výrobce, nedostávají bezpečnostní aktualizace, připojené k internetu. To je zlatý grál útočníka.

Nejsou to dnes již jen operační systémy, ale kancelářské aplikace, internetové prohlížeče, čtečky speciálních souborů, webové a redakční systémy, které mohou spouštět na serverů kód a mají přístup k databázi zákazníků. Jsou to i síťové prvky a firmware chytrých krabiček internetu věcí.

A ano, přece i Windows 10 je potřeba udržovat aktuální, neboť vycházejí nové verze až dvakrát do roka. Nastavte si pravidelné cykly kontroly a aktualizací těchto systémů ve vašem prostředí. Testujte nové verze.

Tip: Pomocí Microsoft Endpoint Manager můžete nejen spravovat distribuci aktualizací na vaše klientské i serverové operační systémy. Pomocí Microsoft Defender Advanced Threat Protection můžete sledovat zranitelnosti v prostředí a případné chyby a nedostatky v konfiguraci.

Bod třetí: Kvalitní heslo.

Hesla jsou často to jediné, co chrání systém a vaše data před útočníkem. A snad jsou to hesla kvalitní, dostatečně dlouhá a komplexní, a především a hlavně – unikátní. Hesla, která uživatelé nepoužívají na internetovém obchodě a soukromém e-mailu. Nepoznamenávají si je na žluté lístečky pod monitor, nebo do souboru hesla.txt na ploše.

Nutíte uživatele ke změně hesla každých 30 dní nebo nikdy? Někde mezi těmito hodnotami leží asi ta správná hodnota. Učíte uživatele používat správně hesla a monitorujete jejich zneužití. A dokážete vůbec rozpoznat přístup regulérního uživatele a útočníka při zadání stejného hesla? Třeba na základě lokality přihlášení nebo zařízení?

Musí si uživatelé pamatovat heslo do každého systému? Každé s jiným nárokem na změnu a komplexitu? Možná by bylo jednoduší pomocí jednotného přihlášení (SSO) chránit ten jeden hlavní vstup do firmy než deset systémů zvlášť.

Tip: Azure AD Premium dokáže vynutit nejen heslo neobsahující zvolená klíčová slova, ale také upozornit na nestandardní aktivity uživatelského účtu jako neproveditelné cestování v čase a prostoru. Microsoft Cloud App Security dokáže identifikovat nestandardní aktivity v rámci služeb jako neobvyklé stahování souborů.

Bod čtvrtý: Další faktor.

Vyhrát v třetím bodě je složité. A proto přichází tento bod. Který při přihlášení ověřuje identitu uživatele dalším faktorem (MFA). Například zadáním číselného kódu z aplikace či SMS, potvrzení notifikace na mobilním zařízení, nebo pomocí biometrie na koncovém zařízení.

Tento faktor ale nesmí uživatele obtěžovat příliš. Jinak začne hledat další aplikace, které ho za něj začnou potvrzovat. V ideálním případě pak dalším faktorem může být například vlastnictví firemního zařízení nebo přístup z interního IP adresního rozsahu.

A v závěru vám také pomůže s identifikací účtů, kterým uniklo to šíleně komplexní heslo obsahující mala/velká, písmena, číslice, znaky, speciální znaky, krev jednorožce, státní hymnu a jméno společnosti s rokem nástupu měněné každých 30 dní.

Tip: Azure AD Premium umožňuje nasazení druhého faktoru, bezpečnou pro společnosti a zároveň formou pohodlnou pro uživatele. Windows Hello for Business dokáže bezpečně ověřit uživatele i bez zadávání hesel pomocí biometrie či kombinace dalších faktorů, jakým může být umístění počítače v síti.

Bod pátý: Nekompromisní šifrování.

Technika se ztrácí. Z kapes uživatelů. Zůstává zapomenuta. V taxi i veřejné dopravě. A nálezci ji ne vždy vracejí a občas se podívají i na její obsah. Bude jedině dobře, pokud zde nenajdou celý archiv zákaznické databáze.

Technikou nemusí být zrovna celý notebook, mobilní telefon nebo nevhodně uložený USB disk či klíčenka. Může jím být i server umístěný v prostorách společnosti přístupný každý večer nejen uklízecí četě.

Potud jste zabezpečili data při uložení. Zbývá jejich přenos. Webové aplikace pracující bez zabezpečeného HTTPS spojení, nezabezpečené databáze, neschválené aplikace pro sdílení dat, e-maily cestující internetem bez řádné ochrany.

Tip: BitLocker integrovaný ve Windows 10 dokáže ochránit pevná i výměnná média v případě ztráty či zcizení techniky. Microsoft Information Protection šifruje a chrání samotné dokumenty, kdy nezáleží na jejich umístění. Zároveň vynutí ochrany proti kopírování obsahu. Microsoft Cloud App Security znemožní nahrání či sdílení citlivých dat mimo schválená uložiště.

Bod šestý: Trénink činí mistra.

Trénujte. Své uživatele, vedení i správce ICT. Naučte je znát běžné metody útoků, falešných e-mailů, škodlivého chování. Jak je v praxi rozpoznat a jak se k nim chovat. Vytvořte kulturu, kdy se uživatelé nestydí hlásit podezřelé e-maily, webové stránky či chování jejich systému.

Vedení společnosti musí jít příkladem. Politika vyžadující PIN na mobilním telefonu. Ředitel je z prvních, kdo ji považuje za samozřejmost, a nežádá o výjimku. Uvědomuje si, že počítače nejsou jen lepším psacím strojem, ale že na nich stojí značná část podnikání, a tak je připraven na odůvodněné žádosti o rozpočet.

Kolegové od počítačů si pak uvědomují, že počítače mají pomáhat firmě dosáhnout kýžených cílů. Nejsou středobodem vesmíru a musí přemýšlet, jak ulehčit práci uživatelům. Žádosti o nové aplikace neshodí ihned ze stolu, ale hledají bezpečnější a dostupné alternativy. Pracují s uživateli. Ne proti nim.

A především znají dobře svoje systémy. Umí v nich odhalit nestandardní chování a nemají všechny ty krásné hračky jen tak na ozdobu.

Tip: Attack Simulator dokáže uživatelům rozeslat cílený interní phishing, ve kterém můžete jednoduše vyhodnotit obezřetnost uživatelů a odkázat je na interní školení, uložené například na SharePoint Online, nebo v interaktivní Power Apps aplikaci. Portál MyApps uživatelům dává snadný přístup ke všem aplikacím společnosti. Microsoft Teams integrují další aplikace, které uživatelům často chybí.

Bod sedmý: Internetová pavučina.

Stavět vysokou zeď mezi okolním světem a interním prostředím v podobě firewallu není rozhodně na škodu. Ale nutné je kontrolovat nejen přístup zvenku dovnitř, ale také zevnitř ven. A ideálně i v rámci hradu. Dobrou otázkou k zamyšlení ovšem je, zda král s královnou a pokladem sedí uvnitř hradu, nebo zrovna vyjeli na svůj lovecký zámeček.

A pokud už lupič pronikne dovnitř, narazí na vnitřní příkopy. Segmentaci sítě, 802.1X či prosté VLAN, které zamezí prostému šíření nákazy mezi nezabezpečenými stanicemi. Stanicemi, které možná interně nepoužívají firewall, protože bylo tak pracné jej nastavit.

Stejně jako oddělit bezdrátovou síť pro návštěvníky od sítě interní, sítě pro tiskárny a serverovou infrastrukturu. A dát jim potřebný přístup k internetu i bez nutnosti provádět inspekci provozu. Ale umožnit vzdálenou práci pomocí připojení k VPN. Případného bezpečného publikování aplikací opět a jen pro firemní počítače a identity chráněné MFA, nikoliv každému v internetu.

Tip: Windows Defender Advanced Threat Protection dokáže izolovat počítač od sítě v případě škodlivého chování automaticky. Stejně tak nabídne analýzu síťových spojení i mimo perimetr sítě. Always On VPN na Windows 10 automaticky vytočenou se startem počítače uživatel ani nepozná.

Bod osmý: Zařízení, nejen počítač.

Počítače už nejsou ty obrovské krabice zabírající polovinu skladu. Vejdou se do kapes. Běží kdesi v oblacích. V kavárnách, a ne kanceláři. A ne všechny nyní běží na stejném operačním systému. Ne všechny vidí na doménový řadič, odkud by stáhly svoje doménové politiky.

Na všech těchto koncových bodech je nutné zajistit bezpečnou konfiguraci. Běžící antivirus, či aspoň zakázat jakékoliv aplikace přistupující k firemním datům. Zablokovat makra stažená z internetu, ale povolit ta pro váš účetní systém. Proč by mělo nějaké makro spouštět na stanici PowerShell skript? Nezní to samo o sobě podezřele?

Věřit, že politiky z Exchange fungují i pro aplikace mimo pošty. Nebo raději použít správu mobilních zařízení (MDM) a případně mobilních aplikací (MAM). Aby škodlivé aplikace nezískaly možnost odeslat poštu kolegům či ukrást firemní adresář. Aby přílohy e-mailů nejdříve prošly antivirovou kontrolou nejen na základě statické analýzy, ale také testem jejich chování.

Tip: Microsoft Intune dokáže nasadit aplikace i politiky na platformy Apple, Android a samozřejmě Windows. Nejen v restriktivním režimu, ale též auditním. Dokáže zkontrolovat stav jejich souladu, a v případě problému či rizika na zařízení odmítnout přístup k firemním systémům. Office 365 Advanced Threat Protection dokáže blokovat nebezpečné přílohy na základě jejich reálného chování ve virtuálním systému. Windows Defender Attack Surface Reduction blokuje škodlivé aktivity aplikací na úrovni Windows 10.

Bod devátý: Přiměřeně s oprávněním.

Ne každý musí být hned správcem domény či cloudového prostředí. Ne všechny aplikace potřebují oprávnění lokálního správce. Rozděl a panuj. Víme, žije se s tím lépe a snáze. Ale také otevírá velká brána útočníkům.

Na stranu druhou desítky speciálních účtů pro každý účel, systém i aplikaci, vedou k přesnému opaku. Žádný z účtů nemáte reálně pod kontrolou. Monitorujte užití privilegovaných účtů. Přidání oprávnění i jejich odebrání. Separujte techniky, kteří mají pověření přístupu na lokální počítače. Třeba i vaše vlastní. Používejte unikátní účty a hesla pro jednotlivé účely i plánované úlohy a mějte k dispozici účty pro nouzové účely.

Tip: Azure AD Premium nabízí dynamické řízení oprávnění, kdy správci získávají privilegovaný přístup pouze a jen na potřebný časový úsek.

Bod desátý: Monitoringem k reakci.

Zařídit centrální sběr logů je podmínkou nutno pro zjištění, jak k případnému průniku došlo, k čemu se útočníci mohli dostat a k jakým systémům a jakou metodou získali přístup. Ale je až na místě posledním, bohužel pro někoho, na místě prvním. Což vede k řešení bílého šumu. Který neustává. A tím ochránci ztrácejí zbytečně ostražitost.

Tip: Azure Sentinel umožňuje zdarma korelaci logů z Office 365. Napojit na něj ale můžete všechny další systémy a na jednom místě analyzovat aktivity systémů, uživatelů i zařízení společně se sledováním auditní stopy. Microsoft Threat Intelligence shromažďuje všechny signály a nabízí jednu konzoli pro investigaci.

Začněte dnes. Ne až zítra.

Že to děláte dobře se nemusí prokázat hned. V ideálním případě se to neprokáže nikdy. Ale je lepší být připraven. A zamyslet ze, zda v desateru výše nemáte nějaké zásadní mezery. Pokud ano, je na čase začít na tom pracovat.

Směřovat dále ke konceptu Zero Trust.

Nám nezbývá než popřát, aby se vaše společnost na titulních stranách objevila pouze při lepších a jiných příležitostech.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu
{ } { } { } { }