Инвентаризация корпоративной сети
Прежде всего, важно провести инвентаризацию всех сегментов корпоративной сети и активов. Эта рекомендация может показаться очевидной, но в одном из инцидентов компания стала жертвой hackers через уязвимое веб-приложение, размещённое на сервере, советуют эксперты центра Solar 4RAYS.
Также стоит просканировать пул публичных адресов своей компании, используя такие сервисы, как Censys, Shodan или Fofa. Более опытные специалисты могут применять продвинутые сканеры, которые зачастую используют команды по анализу защищенности. Это позволит понять, какие приложения и порты доступны злоумышленникам, и выявить потенциальные уязвимости. Если некоторые приложения не нужны на период праздников, лучше сделать их недоступными.
Создание резервных копий
В случае, если инцидента не удастся избежать, создание резервных копий критически важных систем поможет смягчить последствия. Резервные копии должны храниться таким образом, чтобы их нельзя было удалить во время атаки. Рекомендуется отказаться от доменной авторизации на серверах резервного копирования и использовать отдельные учетные записи с минимальными привилегиями.
Оптимальный вариант – хранить резервные копии с минимальной связностью с основной сетью, чтобы в случае успешной атаки можно было быстро восстановить критически важные серверы и сервисы.
Следует ориентироваться на правило 3-2-1: создавайте не менее трех копий каждого файла, храните их на двух разных типах носителей и одну копию сохраняйте в удаленном месте.
Установка патчей
Патч-менеджмент является ключевым направлением для обеспечения безопасности корпоративной инфраструктуры. Если процесс не установлен должным образом, стоит уделить внимание установке патчей для всех ключевых приложений, особенно для публично доступных сервисов. Однако делать это лучше заранее, а не в последний момент перед праздниками, чтобы избежать риска возникновения проблем с работоспособностью приложений после обновлений.
Контроль паролей и учетных записей: важные шаги к безопасности
Скомпрометированные логины и пароли представляют собой одну из основных угроз для корпоративной сети, и злоумышленники активно используют эти уязвимости. Эксперты рекомендуют следующие меры предосторожности:
- Проведите аудит учетных записей, используемых в различных сервисах, таких как RDP и VPN. Удалите неиспользуемые и ненужные аккаунты.
- Смените пароли для администраторских аккаунтов.
- Оцените свою парольную политику: проверьте требования к сложности пароля, укажите сроки его действия и исключите возможность создания нового пароля, который будет идентичен старому.
- Инвентаризация учетных записей, созданных для подрядчиков, также важна. Если на период праздников работы не планируется, временно отключите такие учетные записи для обеспечения дополнительной безопасности.
- Убедитесь, что доступ к важным системам, таким как СХД, виртуализация и резервное копирование, не хранится в открытом виде в текстовых файлах или браузере.
- Закройте все активные сессии удалённого доступа по различным протоколам, таким как RDP и веб-приложения, если взаимодействие с системами уже не ведется.
Оценка компрометации: не упустите важное
Хотя за оставшееся до праздников время не получится провести полную оценку компрометации инфраструктуры, следует выполнить базовые действия для анализа:
- Проверьте, как сработали имеющиеся средства защиты.
- Оцените критичные системы на предмет появления подозрительных файлов, новых системных служб или пользователей, а также установленных новых ПО как для Linux, так и для Windows.
- Проверьте входы на критичные системы на наличие аномалий.
- Изучите списки активных процессов и сетевых соединений на предмет аномалий.
- Проверьте системные журналы на предмет подозрительных аутентификаций.
- При наличии возможности ознакомьтесь со статистикой на сетевом оборудовании.
Назначение ответственных: кто отвечает за безопасность?
В каждой компании должны быть назначены ответственные лица за реагирование на инциденты. Вовлечённые сотрудники должны четко понимать свои роли и задачи. Необходимо создать матрицу взаимодействия и разработать план действий в экстренных ситуациях. Ответственные должны быть доступны круглосуточно, даже в праздничные дни.
Managed Detection and Response: когда нужны профессионалы
Если у вашей компании нет ресурсов для полноценного мониторинга и реагирования на инциденты, стоит рассмотреть услуги сервис-провайдеров, предлагающих Managed Detection and Response. Это позволит получить доступ к команде экспертов, которая будет осуществлять мониторинг и реагировать на инциденты. Хотя за неделю до Нового года внедрять такие системы может быть сложно, планирование заранее обеспечивает круглосуточное наблюдение за инфраструктурой, что позволяет избежать серьезных потерь.
Что делать после праздников?
После новогодних каникул первым делом стоит проверить, сработали ли принятые меры. Повторите действия, описанные в разделе об оценке компрометации, чтобы убедиться, что злоумышленники не проникли в инфраструктуру или не остались там незамеченными. Оптимальным вариантом будет привлечь профессиональную команду сервис-провайдера для выполнения этой работы.
