Околу синхронизираните напади на веб страните на Министерство за здравство и Министерството за образование, а претходно и на веб страната (можеби и на серверите?) на ДИК, како експерт за сајбер безбедност можам да го кажам следново.
1. Речиси секогаш постои инсајдер кој се разбира од ИТ и кој проследува битни информации до хакерите за истите да можат да направат таргетиран векторски напад на системот. Тоа се на пример информации за редундантни IP адреси, внатрешна адресација на мрежата, видови на периметарска и ендпоинт заштита, пасворди на фајрволи, свичеви или сервери…
Втората опција за пробив на системот без инсајдер во институцијата бара исклучителни ИТ вештини на хакерите, скапи софтвери, многу време и сето тоа е многу скапо во целина како концепт, па затоа не верувам дека тоа е случај кај нас.
2. Ако веб страните се хостирани локално, во рамките на мрежата на министерството, големи се шансите да се уништени и украдени и други податоци од институцијата.
3. Голем дел од министерствата, со чест на исклучоци, малку вложуваат во ИТ инфраструктурата, посебно во сајбер заштитата. Дополнително, располагаат со прилично неквалификуван ИТ кадар, бидејќи квалитетниот кадар им избега заради ниските плати. Тоа е голем проблем со кој треба државата посериозно да се позанимава, ако планира да ја намали изложеноста на институциите на сајбер напади кои ви гарантирам дека во следниот период ќе добијат на интензитет.
Што и е потребно на секоја институција за да може да биде безбедна од сајбер напади?
1. Firewall уред за периметарска заштита и контрола на мрежата, по можност NextGen со layer 8 control.
2. Endpoint бизнис решение со централизиран менаџмент за AV заштита.
3. Менаџибилни свичеви со VLAN-ови за грануларна сегментација на мрежата и дополнителна заштита.
4. Квалитетно дизајнирана DMZ зона за заштита на серверите и сториџите (NAS, QNAP).
5. Пристап од надвор кон локалната мрежа овозможен исклучиво прeку VPN (SSL или уште подобро IPSec). Никако TeamViewer-и, AnyDesk и слични free алатки и никако отворање на RDP порта 3389 кон надвор, зошто половина од векторските напади (SQL injection) се токму преку таа порта.
6. Затворање на firewall на сите порти кои не се користат и исклучување на ping и DNS на WAN страната. Оние порти кои мора да се отворени треба да бидат скенирани со сите вклучени модули на фајрволот, а ако има можност за cloud scanning (sandbox) како опција за детонација на сомнителните пакети уште подобро.
Фејсбук пост на Александар Левески – Инженер за ИКТ решенија и сајбер безбедност.