štvrtok 24. februára 2022

NBÚ: Varovanie pre kritickú infraštruktúru

Národný bezpečnostný úrad varuje pred hrozbou závažného kybernetického bezpečnostného incidentu vo vzťahu k zabezpečeniu sietí a informačných systémov prevádzkovateľov základných služieb ako prvkov kritickej infraštruktúry. Odporúča vykonať preventívne opatrenia v záujme maximálneho zvýšenia odolnosti voči kybernetickým bezpečnostným incidentom.

Odporúčania pre všetky organizácie
• Urýchlene sa vysporiadať so zisteniami auditu kybernetickej bezpečnosti (ak u vás už bol) a zrýchliť plnenie nastaveného akčného plánu.
• Prehodnotiť a aktualizovať analýzu rizík a zahrnúť do nej súčasnú geopolitickú situáciu a hrozby s ňou súvisiace.
• Dôsledne vykonávať manažment aktív, aby ste mali dostatočný prehľad o tom kde a aké aktíva sa vo vašej organizácii nachádzajú, na čo slúžia, kto ich spravuje a kto má k nim prístup.
• Aktualizovať BCM plány a plány obnovy po havárii tak, aby bola prevádzka najmä kritických aktív obnovená čo najskôr.
• Overiť účinnosť monitoringu, presvedčiť sa, že monitoring zahŕňa všetky vaše kritické aktíva a uistite sa, že dáta z monitoringu sú optimálne na 24/7 úrovni vyhodnocované bezpečnostnými zamestnancami.
• Dôsledne vykonávať manažment prístupov, určovať prístupy k aktívam na základe oprávnenej požiadavky len s nevyhnutnými minimálnymi právami pre používateľa a držať sa pravidla „need to know“. Nasadiť 802.1x v LAN a Wi-Fi prostredí.
• Aplikovať prísnu politiku hesiel, ktorá zahŕňa úplné zamedzenie používania rovnakých hesiel na rôzne služby, vyžaduje minimálnu dĺžku a náročnosť hesla a zakazuje používanie pôvodných hesiel v systémoch a službách.
• Implementovať viacfaktorovú autentifikáciu na všetkých systémoch a službách, vrátane VPN služieb a e-mailových služieb. Vyhnúť sa používaniu autentifikácie pomocou SMS a hlasových služieb a používajte autentifikačné mechanizmy, ktoré sú najviac odolné proti praktikám sociálneho inžinierstva (napríklad fyzické tokeny). Pri overovaní autentifikácie nastaviť rate limit pre zadávanie autentifikačných kľúčov, aby sa zamedzilo možným brute force útokom.
• Vynucovať viacfaktorovú autentifikáciu u všetkých používateľov (vrátane správcov systémov a služieb a manažmentu) a to všade tam, kde to systémy a služby dovoľujú. Viacfaktorovú autentifikáciu a prísnu politiku hesiel vyžadovať aj v prípade systémov a služieb, ktoré používatelia používajú v súkromí (napr. internet banking, sociálne siete a pod.).
• Kontrolovať a monitorovať prístup tretích strán do vašej infraštruktúry. Obmedziť prístupy a práva tretích strán vo vašej infraštruktúre len na nevyhnutné minimum, dôsledne monitorovať a zaznamenávať vykonávané aktivity prostredníctvom týchto prístupov. Optimálne je však úplne zrušiť prístup tretích strán do vašej infraštruktúry.
• Rozumne segmentovať lokálnu sieť na viacero častí podľa dôležitosti a účelu jednotlivých prvkov a limitovať prístupy do jednotlivých segmentov podľa prísne nastavených politík. Nekombinovať servery a užívateľské zdroje v jednom segmente. Pri riadení prístupov aplikovať čo najväčšiu mieru detailu, kam má mať v segmente používateľ prístup a s akým zariadením. Prehnaný počet segmentov v sieti ale prináša bezpečnostné riziká.
• Obmedziť alebo úplne zablokujte prístup na internet serverom alebo zariadeniam, ktoré takýto prístup nemusia mať. Takéto servery útočník môže použiť na vytváranie zadných vrátok v infraštruktúre alebo ich môže použiť ako riadiaci server (C2).
• Overiť aktuálnosť posledných verzií softvéru a firmvéru, bezodkladne vykonať aplikáciu všetkých aktualizácií a bezpečnostných záplat, overiť existenciu smerníc pre aktualizáciu softvéru a firmvéru. Ak neexistujú, je nutné bezodkladne ich vytvoriť a začať implementovať.
• Mať vytvorenú a implementovanú zálohovaciu stratégiu podľa pravidla 3-2-1, teda mať tri kópie svojich dát na dvoch rôznych typoch nosičov a tie mať uložené offline minimálne v jednej lokalite mimo hlavnej lokality. Overiť, že takúto stratégiu máte, že sa podľa nej postupuje, že pravidelne trénujete zálohovacie postupy aj postupy nevyhnutné na obnovu dát.
• V prípade využívania cloudových služieb vašou organizáciou, overiť ich zabezpečenie všetkými dostupnými bezpečnostnými mechanizmami (viacfaktorová autentifikácia, politika prístupov, VPN spojenia a pod.) a nevyužívať cloudové služby na prenášanie a ukladanie kritických informačných aktív vašej spoločnosti, ako napríklad obchodné tajomstvá, osobné údaje zamestnancov a zákazníkov, údaje z účtovníctva, plány infraštruktúry a podobne.
• Chrániť sa pred DoS útokmi napríklad využívaním CDN (Content Delivery Network) pri webových službách, zriadením záložných lokalít pre systémy a služby a zautomatizovaním procesov obnovy prevádzky v prípade DoS útokov.
• Zabezpečiť emailové systémy využitím metód SPF a DKIM a tiež aplikovaním antispamových filtrov a náležitou konfiguráciou mailového servera tak, aby sa podozrivé a škodlivé e-maily nedostali až do schránok používateľov.
• Informovať svojich zamestnancov o nebezpečenstve kybernetických útokov a pravidelne vzdelávať a trénovať všetkých používateľov podľa ich pracovnej náplne a expertízy, ktorou disponujú. Pre bežných používateľov organizovať na pravidelnej báze školenia o nebezpečenstve a dopadoch sociálneho inžinierstva, pre administrátorov tréningy zamerané na bezpečnosť infraštruktúry a jej prepojenie na vnútorné procesy a postupy v organizácii a bezpečnostným špecialistom zabezpečiť adekvátne špecializované vzdelávanie. Odporúčame takisto na pravidelnej báze organizovať phishingové testy, cvičenia typu blue vs. red team a table-top manažérske cvičenia.
• Zaviesť proces manažmentu incidentov, aby zamestnanci vedeli, na koho sa majú obrátiť, keď vidia podozrivú aktivitu, alebo keď sa domnievajú, že sa stali obeťou kybernetického útoku.
• Komunikovať s Národným centrom kybernetickej bezpečnosti SK-CERT, hlásiť kybernetické bezpečnostné incidenty a aplikovať odporúčania SK-CERT.

Doplnkové odporúčania pre organizácie s OT infraštruktúru:
• oddeliť IT a OT infraštruktúru firewallmi (so striktnými firewallovými pravidlami a filtrovaním obsahu komunikácie),
• nasadiť monitoring kybernetických hrozieb aj v OT infraštruktúre,
• eliminovať IT/OT dual homing stanice,
• implementovať OT segmentáciu siete a nasadiť NextGen LAN firewall(serverovú časť IT oddeliť od používateľov pomocou NGFW). OT sieť zónovať a segmentovať podľa štandardu Purdue Model IEC 62443 a oddeliť firewallmi.