Нужен ли вам «IT-аудит безопасности»?

Нередко, ко мне обращаются с вопросом, мог бы я, провести IT-аудит безопасности или провести тестирование на проникновение? 

 

С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по IT вопросам. Если вам нужна IT-помощь:

• Аренда VPS/VDS, хостинг, почта и облачные решения для бизнеса.
• Найти исполнителя поставленных IT-задач для бизнеса
• Недорогая удаленная поддержка пользователей СНГ
  

И тут, у меня нередко бывает проблема с потенциальными клиентами. Начну с того, что часто такие просьбы, поступают от владельцев малого и среднего бизнеса. Есть несколько моментов, появляющихся во время разговора с такими бизнесменами, на которые хочу обратить особое внимание. 

• Бизнесмен или руководитель «IT-отдела», устал от постоянных вирусных заражений.
• Они осознают, что за стабильную работу их бизнеса, необходимо платить.
• Они хотят решить свои проблемы безопасности.
• У них есть приходящий админ.

На первый взгляд, может сложится впечатление, что руководитель компании или «IT-отдела», уже готов к изменениям и финансовым вложениям в IT-сферу для своего бизнеса. Однако, при дальнейшем общении, выявляются следующие моменты.

• Приходящий админ, решает только поставленные перед ним цели руководством компании. Сам инициативы не проявляет. Причина – нехватка финансирования. Нередко, после общения с приходящим админом и сотрудниками компании, выявляются проблемы по оплате зарплат сотрудникам (в том числе и админу).
• Устаревшая компьютерная техника. Обновлять компьютерную технику, никто не планирует. Все надежды возлагаются на виртуализацию.
• Пиратский софт, устаревшие операционные системы, отсутствие антивирусов. Тут комментарии не нужны.

В дальнейшем, после разговоров с руководством, становится понятным, что такой бизнесмен не понимает, что для того, чтобы «стричь» деньги, нужно вкладывать деньги. И пытаясь объяснить руководителю, что все довольно запущено – надо подымать всё едва ли не с нуля, но уже на современном оборудовании с современным софтом, а это дорого… Получаешь в ответ «выпученные глаза на лоб» и возмущение.

А всё на самом деле, довольно просто. Если у вас нет базовых основ для выстраивания информационной безопасности, о каком тесте на проникновение и «IT-аудите» безопасности, может идти речь? Не сомневаюсь, что вы сможете найти исполнителя, который захочет заработать на вас, однако, стоит ли вам проводить «IT-аудит» безопасности или тест на проникновение, когда у вас нет элементарных основ безопасности? Советую вам подумать, над гипотетической ситуацией – когда человек знает все слабости системы, что он может сделать и что его удержит от использования такого знания? Не разумнее ли, сначала обеспечить свою IT-структуру всем необходимым, а уже потом, проверять её на прочность?

Ниже, приведу ряд советов, которые при реализации, помогут вам существенно повысить безопасность своих бизнес процессов. Проанализируйте, всё ли у вас реализовано? Если нет, то нет и смысла в тесте на проникновение и «IT-аудите». Не тратьте деньги понапрасну на ненужный вам тест на проникновение. Приступите лучше к внедрению данных советов, в реализации которых, сможет помочь ваш приходящий админ. Только помните, это стоит денег. 

Если вы владелец бизнеса или помощник/руководитель компании и хотите защитить свой бизнес от цифровых угроз, данная информация, позволит вам понять основные приоритеты в защите и поможет вам подыскать исполнителей для реализации поставленных задач.

Срочно.

• Установить и настроить Firewall на сервере. Отключить все неиспользуемые порты.
• Создавать раз в неделю (не реже) зашифрованные резервные копии критически важных данных и хранить на съёмных носителях информации. Можно использовать облачные решения (только без автоматической и постоянной синхронизации данных).
• Создавать раз в неделю (не реже) необходимые резервные копии данных, нужные для работы компании.
• Хранить резервные копии (кроме критически важных) на специально выделенном сервере без доступа в Сеть. Можно использовать облачные решения (только без автоматической и постоянной синхронизации данных). 

Где лучше хранить резервные копии данных?

Есть готовые решения для защиты бизнеса по доступным ценам, которые позволят вам организовать безопасное хранение резервных копий ценных данных от цифровых угроз (хищения, незаконного изъятия, атак вирусов-шифровальщиков) от ведущего украинского провайдера облачной инфраструктуры, успешно реализовывающего свои IT-решения с 2012 года. Подобрать решение...

• Установить единые комплексные антивирусные средства на сервера и рабочие компьютеры.
• Срочно поменять все пароли RDP.
• Использовать сложные и длинные пароли для RDP (не менее 10 символов прописных и строчных букв с комбинацией цифр + спецсимволы). Не раздавать пароли от RDP неизвестным. Только тем сотрудникам, которым они нужны для работы. 
• Отключить сохранение паролей от RDP на рабочих машинах (требовать постоянный ввод парлей от RDP).
  
• Настроить контроль и блокировку неудачных попыток входа RDP.
• Сменить порт для RDP.
• Реализовать блокировку подключения по RDP учётным записям с пустым паролем.
• Сменить пароли для учётных записей уволенных сотрудников и отключить неиспользуемые учётные записи. 
• Спрячьте свой RDP за VPN.

VPN — единственно правильный вариант защиты от подбора паролей через RDP. Сейчас есть очень простые и удобные VPN клиенты, буквально запустил — ввел пароль — готово. Например, Pulse Secure, является готовым решением для организации VPN без лишних хлопот. Есть украинский хостинг провайдер, предоставляющий готовое VPN решение для бизнеса.

• Защита для RDP – это сложный пароль, домен, VPN + конфиденциальность.
• Используя SRP, разрешить запуск исполняемых файлов на компьютере только из определенных папок. Как более простой вариант, можно настроить запрет запуска исполняемых файлов из пользовательских каталогов. Как в первом так и во втором случае, запретить запуск других потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh, *.com, *.cmd, *.scr, *.pif, *.wsf, *.jse и т.п), а не только *.exe. Особое внимание уделить запрету на запуск исполняемых файлов в папках: 

%LocalAppData%
%Temp%
%AppData%
%UserProfile%
%WinDir%
%SystemRoot% 

• Создать отдельную сетевую папку для каждого пользователя. Права на запись должны быть только у владельца папки.
• Срочно отказаться от использования ОС Windows XP.
• Регулярно устанавливать последние обновления для ОС и критического софта (браузеры, антивирусы, защитные комплексные программы).
• Не использовать пиратские ОС, комплексные антивирусы, Firewall. Устанавливать и обновлять софт с официальных сайтов.
• По возможности, обновится до ОС Windows 10.
• Отключить WPS на роутерах.
• Если настройки роутера позволяют – необходимо скрыть сеть (отключить транслирование имени SSID). Обязательно использовать для Wi-Fi – WPA-шифрование и VPN. Если роутер не поддерживает такую возможность – заменить на новый. При необходимости раздавать Wi-Fi сторонним посетителям офиса, клиентам – настроить гостевую сеть.
• Использовать сложные пароли для Wi-Fi. Вовремя обновлять прошивку с исправлениями безопасности для роутеров.

Высокий приоритет.

• Обеспечить бесперебойное электропитание серверной.
• Использовать сложные пароли (не менее 10 символов прописных и строчных букв с комбинацией цифр + спецсимволы) для любых учёток и аккаунтов. Для удобства и безопасного хранения паролей, использовать менеджеры паролей.
• Настроить режим защиты RDP-сессии.
• Настроить шифрование для RDP (реализовать именно режим RDP FIPS140-1 Encryption).
• Привязать RDP к конкретному адаптеру и порту.
• Включить NLA (Network Level Authentication).
• Настройка ACL для подключения по RDP.
• Произвести оптимизацию скорости RDP.
• Произвести оптимизацию сжатия RDP.
• Произвести оптимизацию соотношения потоков данных в RDP.
• Настроить на сервере аутентификацию через SSH-ключи.
• Сменить порт SSH.
• Использовать PKI и SSL/TLS шифрование.
• Ограничить список IP, с которых возможен доступ к серверу.
• Применить способ запуска компонентов системы в их собственном выделенном пространстве (изолированная среда выполнения).

Средний приоритет.

• Настроить аудит файлов и систему обнаружения вторжений.
• Используйте двухфакторную аутентификацию. Это сведет к минимуму реализацию всех типов брутфорс-атак.

Есть возможность реализовать защиту RDP соединения, при помощи готового решение для реализации двухфакторной аутентификации с защитой RDP от ESET (ESET Secure Authentication для защиты локального или удаленного входа в систему через протокол RDP).

Ссылки на получение пробной лицензии и загрузки для пользователей РФ.

Заявка на получение ключа активации (бесплатная триал версия на 30-ть дней): https://www.esetnod32.ru/download/business/trial/?from=esa#download-business-trial

Загрузка последнего дистрибутива ESET Secure Authentication: https://www.esetnod32.ru/download/business/commercial/access/

Ссылка на решение ESET Secure Authentication, для пользователей Украины.

https://www.eset.com/ua/business/secure-authentication/

Ссылка на загрузку: https://www.eset.com/ua/business/secure-authentication/download/

Дополнительные рекомендации.

• Найдите хорошего системного администратора (на постоянной основе).
• Позаботьтесь о лояльности и адекватности коллектива.
• Поощряйте как админа, так и сотрудников за дополнительную работу премией и повышением зарплаты.

На заметку.

1. Не создавайте локальные учетные записи доменными политиками. 

Причина высокой опасности – сведения об этой учетной записи, в том числе ее пароль, хранятся в открытом виде в файле groups.xml, в ресурсе sysvol контроллера домена, который по умолчанию доступен ВСЕМ участникам домена на чтение. Пароль зашифрован, но шифрование симметричное, а ключ один для всех копий Windows, и написан в открытом виде в MSDN. Отсюда следует: любой пользователь может скачать этот файл, и путем простых манипуляций узнать пароль от распространяемой учетной записи. Обычно так распространяется учетная запись с правами администратора, и часто она создается без разбора везде…

Решение – групповыми политиками добавляйте только доменные учетные записи в локальные группы на хостах.

Поэтому, не создавайте доменной групповой политикой локальные учетные записи на хостах в домене.

2. Защититесь от  угона доменных учетных записей через mimikatz/wce.

Решение без дополнительных затрат: заводить для управления инфраструктурой даже не 2-3 учетные записи, как принято (надеюсь, у вас так?):

• для локальной работы;
• для администрирования серверов и ПК;
• для контроллеров домена.
  

А как минимум 4 учетные записи (а то и больше), в соответствии с условными «зонами доверия» в домене, и не применять их вне своей зоны. То есть, держать отдельные учетные записи:

• для работы со своей личной машиной;
• для входа на контроллеры домена и управлением ими;
• для серверов;
• для рабочих станций;
• для удаленных филиалов, если там оказался ваш домен, но при этом вы не уверены, что там происходит в конкретный момент времени;
• для зоны DMZ, если вдруг доменные хосты оказались в DMZ;
• если вы частый посетитель клуба анонимных параноиков – разбить эти зоны еще на меньшие группы, либо менять свои пароли очень часто.

3. Обращение к SMB по именам и запрет использования NTLM.  

К файловым ресурсам (SMB) в домене лучше обращаться только через доменное имя, а не через IP. Помимо удобства администрирования, так вы явным образом заставите хост аутентифицироваться по протоколу Kerberos, который хоть и имеет свои недостатки, но является значительно более защищенным, чем протокол NTLMv2, который задействуется при обращении по IP файлового ресурса.

Касательно протокола NTLM (который без «v2») – он должен быть запрещен. Стоит помнить, если у вас разрешены оба протокола NTLM, возможна ситуация, когда атакующий может понизить предпочтение с NTLMv2 до NTLM, и хост-жертва выберет самую слабую аутентфикацию.

4. Включение UAC на максимум.

5. Отключение скрытых файловых ресурсов.

6. Сетевые диски как ярлыки. 

Спорное решение и явно не всем подходит, но были случаи, когда это спасало от эпидемии шифровальщиков. По возможности, предоставлять пользователям удаленные общие файловые ресурсы не как сетевые диски, а как ярлыки на рабочем столе. Причина простая – malware иногда перебирает буквы дисков, и при этом не всегда в состоянии найти ресурсы, не подключенные в виде дисков. 

7. Полностью изолированный гостевой WiFi.

8. Не создавайте «корпоративный» WiFi на едином Preshared-ключе.

9. Возьмите под контроль IPv6.

Если вы не интересовались использованием IPv6, повторите все действия по фильтрации трафика применительно к IPv6, либо запретите его. Ваша инфраструктура может неявно использовать его, но вы можете и не знать об этом. Это опасно проблемами несанкционированного получения доступа в Сети.

Заключение.

Это не является полным и исчерпывающим руководством. Однако, это те шаги, которые можно предпринять уже сейчас, для повышения безопасности своих бизнес-процессов. Главная задача, максимально минимизировать потери в случаи вирусных атак и неизвестных угроз на ваш бизнес. 

Данная информация, нацелена в первую очередь на предпринимателей и руководителей бизнеса, которые хотят защитить свой бизнес от цифровых угроз с минимальными финансовыми затратами. Таким образом, данная информация поможет вам понять, с чего нужно начинать.

При этом, очень важно, чтобы коллектив в компании, был лоялен к вашей фирме и уверен в том, что он получит финансовое вознаграждение за свою работу. В противном случае, могут быть проблемы. Нередки случаи, когда сами сотрудники, заражают систему вирусами (намеренно), уничтожают данные, ломают технику. Продают/сливают базы данных, базу клиентов, и другие важные данные – конкурентам. 

Данную статью написал в связи с тем, что часто, владельцы бизнеса хотят все решить за пять минут и за пять копеек. При этом, выше привёл полностью бесплатные и надёжные советы, при реализации которых, вы обезопасите свой бизнес от неизвестных угроз и вирусов-шифровальщиков.

Если вам кажутся данные советы глупыми, тогда оставьте всё как у вас есть сейчас. Всё, что хочу донести до вас, так это то, что невозможно говорить о безопасности и стабильности в целом, если у вас имеются серьёзные проблемы на самом начальном уровне. 

Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:

• Пять шагов для защиты от вирусов-шифровальщиков.
  
• Настройка RDP (защита от перебора паролей).
• Как защититься от всевозможных вирусов-шифровальщиков?
• Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
• Защита главной загрузочной записи (MBR).
• Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.

Бизнес-предложение.

Не хотите в дальнейшем нести финансовые и репутационные потери из-за потери данных? Обезопасьте себя от потери данных при помощи облачных технологий от ведущего украинского провайдера облачной инфраструктуры, успешно реализовывающего свои IT-решения с 2012 года.
Удаленный офис, резервное копирование, бухгалтерия в облаке, отзывчивая и опытная техническая поддержка, полное сопровождение клиентов.
Не теряйте свои данные. Защитите их уже сегодня. Узнать больше... Услуги предоставляются данной компанией по СНГ и за пределами (Европа, США).