Quali lezioni si possono trarre dagli ultimi attacchi di Ransomware? [chiuso]

Penso che una delle principali lezioni apprese sia che i servizi di sicurezza non devono accumulare zero giorni e strumenti per sfruttarli, (specialmente) se non riescono a proteggerli correttamente.

La cosa da ricordare, tuttavia, è che WannaCrypt e Petya avevano entrambi le patch disponibili prima che colpissero e entrambi hanno anche approfittato di una configurazione scadente.

Inoltre, molte organizzazioni che sono state colpite duramente potrebbero aver evitato qualche (forse tutto) dolore se avessero adottato le cinture standard e le pratiche di sicurezza dei bretelle.

Le principali lezioni che le organizzazioni dovrebbero imparare è che dovrebbero avere il principi fondamentali giusto.

Ad esempio:

Gestione delle vulnerabilità

Esegui una scansione periodica delle vulnerabilità, comprendi la posizione di sicurezza di tutte le risorse e quali vulnerabilità sono presenti, quali minacce sono correlate a queste vulnerabilità e quali rischi rappresentano per la proprietà IT e l'attività che serve.

Questo include sia patch mancanti (ad esempio MS17-010) che configurazione scadente (cioè con SMBv1 abilitato).

Questo dovrebbe essere supportato da processi appropriati che consentano la scoperta continua, la risoluzione delle vulnerabilità (tramite l'azione o l'accettazione del rischio) e la conferma della riparazione.

Idealmente, i rischi tutti in tutto il settore IT dovrebbero essere conosciuti e gestiti.

Inoltre, i ruoli e le responsabilità devono essere assegnati per garantire che tutto quanto sopra sia fatto correttamente. Ciò include responsabili della sicurezza, analisti della sicurezza, responsabili IT delle vulnerabilità, ecc.

Gestione patch

Assicurati che le patch siano distribuite in modo tempestivo. Questo non significa solo spingere le patch Patch Martedì più recenti. Questo include anche la comprensione del software che hai nel tuo patrimonio IT e di avere un inventario completo delle risorse per assicurarti che tutto sia corretto.

Controlli multimediali rimovibili

Assicurati che i supporti rimovibili siano limitati ai dispositivi che sono solo autorizzati. Idealmente, inserisco nella blacklist tutti i supporti rimovibili e autorizzo qualsiasi cosa che approvi. (Questa è solo la mia opinione, comunque)

Prevenzione malware

Assicurati di avere una sorta di AV su tutti i punti finali, almeno l'euristica classica e l'AV basata sulla definizione. (anche se sono disponibili soluzioni più avanzate) Assicurati che sia aggiornato e funzionante.

Ripristino di emergenza

Assicurati di avere backup, inclusi backup off-site off-line di dati critici.

Gestione degli incidenti

Assicurati di avere un piano per reagire a un grave incidente di sicurezza; assicurati di avere le persone giuste nei posti giusti supportati dai giusti processi.

Controllo privilegio utente

Questo è ovvio: assicurati che tutti gli utenti abbiano il minimo privilegio. Questo dovrebbe essere supportato per garantire che questo venga verificato regolarmente.

Formazione e coinvolgimento degli utenti

Garantire che tutto il personale comprenda la politica di sicurezza della propria organizzazione. Esegui esercitazioni come campagne di phishing per testare i tuoi utenti e fornire corsi di formazione per consentire loro di comprendere i rischi coinvolti ed essere meglio preparati ad individuare e-mail, siti Web, generazione di contributi ecc. (Ancora, questa è solo una visione, alcune persone potrebbero suggerire quella sicurezza non dovrebbe essere un problema utente, dovrebbe essere un problema IT)

Buona sicurezza della rete Igiene

Avere i controlli di accesso corretti sul perimetro, assicurarsi di aver configurato correttamente i firewall in tutti i punti appropriati della rete (con verifiche e revisioni periodiche delle regole) e assicurarsi che VLANS sia configurato correttamente con tutta la segmentazione richiesta. Assicurarsi che tutti gli utenti remoti possano connettersi in modo sicuro e che tutti i dispositivi da cui si collegano abbiano almeno un livello di patch 1 a 1 come dispositivi già presenti in rete. Inoltre, assicurati di disporre di robusti controlli BYOD.

Una lezione che è emersa prima è che le autorità non dovrebbero accaparrarsi le vulnerabilità per i loro scopi. Attraverso la non divulgazione estesa stavano mettendo a rischio le società e gli individui invece di renderli più sicuri. Anche se l'exploit di EternalBlue non sarebbe stato trapelato e utilizzato da WannaCry e Petya, sarebbe un rischio non avere i venditori a correggere la vulnerabilità nel caso in cui altre persone o organizzazioni lo trovassero ma non lo rivelassero.

Anche l'installazione di patch, insegnando agli utenti i pericoli dello spam e della segregazione di rete per i sistemi critici.

Se ti riferisci alle epidemie di WannaCry e Petya.A, le istruzioni sono semplici: segui le best practice di sicurezza di base, che sono:

1) Installa le patch di sicurezza in tempo

2) Non permettere agli utenti di lavorare con privilegi amministrativi (dominio e amministratori locali)

3) Non installare applicazioni sospette da fonti sconosciute

Seguendo queste 3 semplici regole sarai in grado di proteggere il tuo sistema da questo tipo di attacchi.

Questi sono attacchi di massa di base, non quelli mirati.

1- Mantieni aggiornato il tuo sistema operativo, i programmi.
2- Archivia i tuoi file su un cloud o su un'unità (offline).
3- Mantieni sicura la tua rete aziendale.