Aveți de gestionat echipamente sau date într-o instituție publică sau o companie privată de dimensiuni medii? Iată câteva recomandări privind măsurile care trebuie luate pentru a avea grijă de datele dumneavoastră!
#Recomandări Generale de Securitate Cibernetică
- Nu accesaţi link-uri provenite din surse nesigure. Evitaţi accesarea link-urilor transmise prin mesaje SPAM sau de pe website-uri necunoscute.
- Nu divulgaţi informaţii personale, în cazul în care vă sunt solicitate prin apel telefonic, mesaj text sau e-mail de la o sursă necunoscută. Verificaţi veridicitatea sursei de provenienţă a solicitării.
- Nu deschideţi ataşamentele transmise printr-un mesaj e-mail necunoscut sau suspect şi verificaţi veridicitatea sursei de provenienţă a solicitării.
- Nu utilizaţi dispozitive provenite din alte surse (de exemplu: dispozitive de stocare USB, dispozitive periferice, etc), deoarece acestea pot conţine elemente malware ce pot fi declanşate în momentul conectării acestora la un sistem informatic.
- Efectuaţi periodic actualizări asupra sistemelor de operare, aplicaţiilor şi serviciilor utilizate precum şi aplicarea patch-urilor de securitate recomandate de producător. Actualizarea regulată a aplicaţiilor şi sistemelor de operare vă ajută să vă protejaţi de elemente malware.
- Realizaţi actualizări periodice pentru soluţia antivirus instalată pe staţia de lucru/server şi scanaţi periodic sistemul informatic. Se recomandă utilizarea unei soluţii antivirus cu funcţionalităţi de protecţie pe bază de parolă împotriva operaţiilor de dezinstalare sau dezactivare.
- Opriţi serviciile nefolosite pe toate staţiile/serverele şi eliminaţi sistemele neutilizate, neactualizate sau inactive din reţea deoarece acestea pot constitui o vulnerabilitate şi un punct de intrare pentru un posibil atacator.
- Limitaţi drepturile utilizatorilor pe sistemele din reţea organizându-i în grupuri de lucru, conform atribuţiilor şi rolurilor de acces.
- Evitaţi folosirea de programe software de tip Remote Access ce folosesc protocolul RDP. În cazul în care este necesar accesul de la distanţă, recomandăm conectarea la reţea prin intermediul unei conexiuni VPN (autentificare prin certificat) şi sisteme specializate (de exemplu: jump box).
- Schimbaţi parolele utilizatorilor periodic (cel puţin o dată pe lună) respectând un nivel de complexitate ridicat (literă mare, literă mică, cifră, simbol, minim 12 caractere, etc.). Folosiţi un mecanism de autentificare two-factor, în cazul în care acesta este posibil.
- Nu scrieţi parolele conturilor în documente/notiţe salvate pe staţia de lucru/server.
- Utilizaţi parole complexe şi distincte atât pentru servicii cât şi pentru echipamente (soluţii de virtualizare, servere/hosturi fizice, blade-uri etc.).
- Evitaţi salvarea parolelor în aplicaţii de tip browser.
- Utilizaţi numai surse de descărcare cunoscute şi dacă este posibil, verificaţi suma de control (CRC,SHA, MD5) pentru fişierul descărcat. Pentru a minimiza riscul de descărcare a unor elemente malware, nu descărcaţi niciodată software sau fişiere media de pe site-uri necunoscute.
- Evitaţi conectarea la reţelele Wi-Fi publice. În caz contrar, se recomandă folosirea unui serviciu VPN atunci când vă conectaţi la acestea. Atunci când utilizaţi o reţea Wi-Fi publică, computerul dumneavoastră este mai vulnerabil în faţa atacurilor cibernetice.
- Asiguraţi-vă că datele dumneavoastră sunt întotdeauna protejate prin copii de rezervă (backup) salvate pe medii de stocare offline, deconectate de la reţeaua informatică.
- Se recomandă protejarea traficului email prin gestionarea şi filtrarea email-urilor transmise/primite, blocarea domeniilor raportate ca desfăşurând activitaţi malware, blocarea încercărilor de phishing (analize realizate asupra link-urilor din mesaje, analiza expeditorului, verificarea conţinutului), blocarea ataşamentelor cu conţinut malware (identificarea macro urilor şi a executabilelor, verificarea extensiilor, analiza arhivelor), blocarea email-urilor spam.
- Instalaţi şi configuraţi un Firewall UTM (firewall care deţine tehnologii de securitate precum: antivirus, anti-spam, filtrare web, sisteme IPS – Intrusion Prevention System). Rolul acestuia este de a proteja infrastructura împotriva atacurilor cibernetice.
- Instalaţi un server Proxy care permite utilizatorilor să navigheze pe Internet într-un mod controlat pe bază de politici de acces. De asemenea, este recomandată implementarea unor politici precum blocarea accesului la pagini web cunoscute ca desfăşurând activităţi malware.
- Se recomandă folosirea de tehnologii noi bazate pe Inteligenţă Artificială care asigură capabilităţi necesare pentru detecţia, investigarea şi mitigarea riscurilor de securitate cibernetică.
- Se recomandă analiza evenimentelor de securitate în soluţii de tip SIEM în vederea realizării unei corelări între evenimente pentru detecţia şi identificarea atacurilor cibernetice. O astfel de soluţie asigură scalabilitate, compatibilitate cu diverse tipuri de loguri, posibilitatea de a genera rapoarte.
- Utilizaţi soluţii de securitate de tip WAF (Web Application Firewall) pentru protejarea aplicaţiilor WEB.
- Se recomandă folosirea unei soluţii EDR (Endpoint Detection and Response) pentru a asigura un nivel de protecţie avansată, detecţie rapidă şi răspuns eficient la incidentele de securitate cibernetică la nivelul endpoint-urilor (staţii de lucru/servere).
- Se recomandă segmentarea reţelelor în funcţie de necesităţi (restricţionaţi accesul către/din Internet) şi instituirea unor politici de acces de tip whitelist / blacklist pentru permiterea sau blocarea accesului la anumite resurse din Internet.
- Se recomandă jurnalizarea şi verificarea tuturor autentificărilor cu/fără succes şi păstrarea lor pentru o anumită perioadă (ex. cel puţin 1 an). Fişierele de jurnalizare trebuie verificate periodic.
#PHISHING Recomandări de Securitate Cibernetică
- Nu accesaţi link-uri provenite din surse nesigure. Evitaţi accesarea link-urilor transmise prin mesaje SPAM sau de pe website-uri necunoscute.
- Nu divulgaţi informaţii personale, în cazul în care vă sunt solicitate prin apel telefonic, mesaj text sau e-mail de la o sursă necunoscută. Verificaţi veridicitatea sursei de provenienţă a solicitării.
- Nu deschideţi ataşamentele transmise printr-un mesaj e-mail necunoscut sau suspect şi verificaţi veridicitatea sursei de provenienţă a solicitării. Atacurile cibernetice de tip phishing sau spear phishing sunt special concepute pentru a induce în eroare utilizatorii cu scopul de a accesa ataşamentele sau link-urile trimise prin e-mail.
- Se recomandă protejarea traficului email prin gestionarea şi filtrarea email-urilor transmise/primite, blocarea domeniilor raportate ca desfăşurând activităţi malware, blocarea încercărilor de phishing (analize realizate asupra link-urilor din mesaje, analiza expeditorului, verificarea conţinutului), blocarea ataşamentelor cu conţinut malware (identificarea macro urilor şi a executabilelor, verificarea extensiilor, analiza arhivelor), blocarea email-urilor spam.
- Schimbaţi parolele utilizatorilor periodic (cel puţin o dată pe lună) respectând un nivel de complexitate ridicat (literă mare, literă mică, cifră, simbol, minim 12 caractere, etc.).
- Se recomandă instruirea periodică a angajaţilor privind recunoaşterea şi raportarea atacurilor de tip phishing, inclusiv prin efectuarea unor teste de phishing în organizaţie.
- Verificaţi dacă site-urile folosesc protocolul https:// şi dacă au un certificat SSL valid.
- Asiguraţi-vă că antivirusul şi agentul de mail este actualizat la ultima versiune.
- Se recomandă folosirea autentificării multi-factor.
- Se recomandă folosirea instrumentelor de filtrare anti-phishing în e-mail şi browser.
- Verificaţi permisiunile cerute de aplicaţii terţe care solicită acces la datele şi conturile dumneavoastră.
- Se recomandă jurnalizarea şi verificarea tuturor autentificărilor cu/fără succes şi păstrarea lor pentru o anumită perioadă (ex. cel puţin 1 an). Fişierele de jurnalizare trebuie verificate periodic.
#DoS/DdoS Recomandări de securitate cibernetică
- Se recomandă implementarea unui sistem de monitorizare a traficului pentru a detecta activităţi neobişnuite sau trafic anormal.
- Se recomandă configurarea şi actualizarea regulilor firewall pentru a bloca traficul maliţios.
- Se recomandă utilizarea filtrelor anti-spoofing pentru a preveni atacatorii să falsifice adrese IP.
- Se recomandă implementarea unor limite pentru numărul de conexiuni simultane de la o adresă IP.
- Se recomandă limitarea dimensiunii pachetelor primite pentru a preveni atacurile cu trafic mare.
- Se recomandă folosirea soluţiilor de load-balancing pentru a distribui traficul către mai multe servere pentru evitarea supraîncărcării.
- Se recomandă limitarea solicitărilor pe secundă de la un utilizator la nivelul aplicaţiilor.
- Se recomandă implementarea unor politici de restricţionare a traficului provenit din exteriorul ţării/alte ţări specifice.
- Se recomandă actualizarea la zi a software-urilor şi sistemelor de operare şi aplicarea acestora cele mai recente patch-uri de securitate.
- Se recomandă folosirea unor echipamente de reţea, cum ar fi switch-uri şi routere, cu funcţionalităţi de protecţie împotriva atacurilor Dos/Ddos.
- Se recomandă implementarea restricţiilor de bandă pentru a limita utilizarea excesivă a lăţimii de bandă.
- Se recomandă jurnalizarea şi verificarea tuturor autentificărilor cu/îară succes şi păstrarea lor pentru o anumită perioadă (ex. cel puţin 1 an). Fişierele de jurnalizare trebuie verificate periodic.
#RANSOMWARE Recomandări de securitate cibernetică
- Se recomandă actualizarea la zi a software-urilor şi sistemelor de operare şi aplicarea celor mai recente patch-uri de securitate.
- Se recomandă implementarea unei politici de backup a datelor şi stocarea copiilor de rezervă în mod offline (dispozitive de stocare izolate) sau într-o reţea izolată, fără acces la Internet, separată de reţeaua principală.
- Se recomandă limitarea accesului utilizatorilor la aplicaţii, fişiere şi directoare conform necesităţilor.
- Se recomandă instruirea personalului cu privire la pericolele de tip ransomware şi la modalităţile prin care aceştia pot evita să devină victime.
- Se recomandă implementarea autentificării multi-factor pentru protejarea conturilor utilizatorilor.
- Se recomandă restricţionarea accesului la site-uri web şi servicii necunoscute sau nesigure pentru evitarea infecţiei cu executabile maliţioase.
- Se recomandă monitorizarea activităţii reţelei şi a sistemelor pentru detectarea activităţilor neobişnuite.
- Se recomandă segmentarea reţelelor în funcţie de necesităţi (restricţionaţi accesul către/din Internet) şi instituirea unor politici de acces de tip whitelist / blacklist pentru permiterea sau blocarea accesului la anumite resurse din Internet.
- Se recomandă utilizarea unor soluţii anti-ransomware pentru prevenirea, detectarea şi blocarea atacurilor ransomware.
- Schimbaţi parolele utilizatorilor periodic (cel puţin o dată pe lună) respectând un nivel de complexitate ridicat (literă mare, literă mică, cifră, simbol, minim 12 caractere, etc.). Folosiţi un mecanism de autentificare two-factor, în cazul în care acesta este posibil.
- Se recomandă izolarea sistemelor critice de restul reţelei pentru a reduce riscul răspândirii unui atac de tip ransomware.
- Opriţi serviciile nefolosite pe toate staţiile/serverele şi eliminaţi sistemele nefolosite, neactualizate sau inactive din reţea deoarece acestea pot constitui o vulnerabilitate şi un punct de intrare pentru un posibil atacator.
- Se recomandă jurnalizarea şi verificarea tuturor autentificărilor cu/fără succes şi păstrarea lor pentru o anumită perioadă (ex. cel puţin 1 an). Fişierele de jurnalizare trebuie verificate periodic.
- Evitaţi folosirea de programe software de tip Remote Access ce folosesc protocolul RDP/SMB. În cazul în care este necesar accesul de la distanţă, recomandăm conectarea la reţea prin intermediul unei conexiuni VPN (autentificare prin certificat) şi sisteme specializate (de exemplu: jump box).
- Se recomandă restricţionarea instalării şi rulării aplicaţiilor provenite din surse necunoscute.
- Se recomandă testarea periodică a nivelului de securitate al reţelei şi sistemelor informatice cu ajutorul unui audit de securitate.
#EMAIL Recomandări de Securitate Cibernetică
- Se recomandă actualizarea sistemelor de operare şi a software-ului serverului de mail la cele mai recente versiuni.
- Se recomandă aplicarea celor mai recente patch-uri de securitate asupra serverelor de mail.
- Schimbaţi parolele utilizatorilor periodic (cel puţin o dată pe lună) respectând un nivel de complexitate ridicat (literă mare, literă mică, cifră, simbol, minim 12 caractere, etc.). Folosiţi un mecanism de autentificare two-factor, în cazul în care acesta este posibil.
- Se recomandă jurnalizarea şi verificarea tuturor autentificărilor cu/:f’ară succes şi păstrarea lor pentru o anumită perioadă (ex. cel puţin 1 an). Fişierele de jurnalizare trebuie verificate periodic.
- Se recomandă utilizarea certificatelor SSL pentru a cripta conexiunile către serverul de mail.
- Se recomandă monitorizarea în mod constant a activităţii serverului de mail pentru a detecta comportamente neobişnuite.
- Se recomandă configurarea unui sistem de filtrare a e-mail-urilor pentru a bloca mesajele de tip phishing şi cele ce conţin fişiere malware.
- Se recomandă restricţionarea accesului la serverul de mail doar pentru utilizatorii autorizaţi.
- Se recomandă utilizarea unui software de protecţie antivirus şi antispam actualizat pentru serverul de mail.
- Se recomandă izolarea serverului de mail de restul reţelei pentru a preveni mişcările laterale în reţea.
- Se recomandă instalarea şi configurarea unui Firewall UTM (firewall care deţine tehnologii de securitate precum: antivirus, anti-spam, filtrare web, sisteme IPS – Intrusion Prevention System). Rolul acestuia este de a proteja infrastructura împotriva ameninţărilor web, email şi de reţea.
- Se recomandă monitorizarea traficului de reţea către şi dinspre serverul de mail pentru a detecta eventualele atacuri cibernetice.
- Se recomandă criptarea bazelor de date şi a fişierelor serverului de mail pentru a proteja datele sensibile.
- Se recomandă efectuarea periodică a unui backup al bazelor de date şi stocarea acestuia într-un loc sigur şi izolat.
- Se recomandă testarea periodică a nivelului de securitate al serverului de mail cu ajutorul unui audit de securitate.
- Se recomandă folosirea protocoalelor de securizare a serverului de mail (SPF, DKIM, DMARC PGP, IMAPS, POPS, SMTPS etc) pentru securizarea canalului de transmisie/recepţie a mesajelor e mail, semnarea electronică sau criptarea conţinutului e-mail-urilor, validarea identităţii corespondenţilor, verificarea autenticităţii şi integrităţii mesajelor e-mail.
#WEBSERVER Recomandări de Securitate Cibernetică
- Se recomandă actualizarea sistemelor de operare şi a software-ului serverului de Web la cele mai recente versiuni;
- Se recomandă aplicarea celor mai recente patch-uri de securitate asupra tuturor serverelor Web;
- Se recomandă monitorizarea în mod constant a activităţii serverului Web pentru a detecta comportamente neobişnuite;
- Se recomandă izolarea serverului de mail de restul reţelei pentru a preveni mişcările laterale în reţea;
- Se recomandă utilizarea certificatelor SSL pentru a cripta conexiunile către serverul web;
- Dezactivarea conturilor, cu rol de administrator, care nu sunt utilizate în mod uzual;
- Sanitizarea tuturor parametrilor utilizaţi în cadrul funcţionalităţii aplicaţiei web;
- Utilizarea protocolului HTTPS pentru accesarea website-ului;
- Implementarea unui echipament de tip Web Application Firewall (WAF), pentru identificarea şi blocarea atacurilor cibernetice specifice aplicaţiilor web;
- Se recomandă instalarea şi configurarea unui Firewall UTM (firewall care deţine tehnologii de securitate precum: antivirus, anti-spam, filtrare web, sisteme IPS – Intrusion Prevention System). Rolul acestuia este de a proteja infrastructura împotriva ameninţărilor web, email şi de reţea;
- Se recomandă monitorizarea traficului de reţea către şi dinspre serverul de mail pentru a detecta eventualele atacuri cibernetice;
- Instalarea actualizărilor de securitate pentru aplicaţii, servicii, module din aplicaţia Web;
- Schimbaţi parolele utilizatorilor periodic (cel puţin o dată pe lună) respectând un nivel de complexitate ridicat (literă mare, literă mică, cifră, simbol, minim 12 caractere, etc.). Folosiţi un mecanism de autentificare two-factor, în cazul în care acesta este posibil.
- Realizarea unor backup-uri offline pentru datele importante, deconectate de la reţea;
- Instalarea şi utilizarea unor soluţii antivirus actualizate zilnic cu semnături malware;
- Creşterea nivelului de conştientizare în rândul angajaţilor cu privire la riscurile şi ameninţările cibernetice, precum şi la necesitatea de implementare a unor politici de securitate;
- Efectuarea unui audit de securitate cibernetică în vederea identificării vulnerabilităţilor existente la nivelul infrastructurii.
- Se recomandă limitarea accesului din Internet la consolele de administrare ale aplicaţiilor web.
Dacă toate acestea sunt prea complicate pentru dumneavoastră, apelați la un specialist…
Catalin ANGHEL