Trace Id is missing
Přeskočit na hlavní obsah
Insider zabezpečení

Základní kybernetická hygiena zabrání 99 % útoků

Sdílet
Počítač a telefon na modrém povrchu

V dnešní digitální éře jsou společnosti při svém podnikání stále více závislé na technologiích a online systémech. Splnění minimálních standardů kybernetické hygieny je proto nezbytné pro ochranu před kybernetickými hrozbami, minimalizaci rizik a zajištění trvalé životaschopnosti podniku.

Základní bezpečnostní hygiena stále chrání před 98 % útoků1

Graf zvonové křivky kybernetické hygieny převzatá ze studie „Microsoft Digital Defense Report 2022“ (MDDR).

Minimální standardy, které by měla přijmout každá organizace:

  • Trvejte na vícefaktorovém ověřování (MFA) odolném proti phishingu
  • Zaveďte princip nulové důvěry (Zero Trust)
  • Používejte moderní ochranu před malwarem
  • Udržujte systémy aktualizované
  • Chraňte data

Chcete omezit útoků na vaše účty? Zapněte vícefaktorové ověřování. Jak už název napovídá, vícefaktorové ověřování vyžaduje dva nebo více faktorů ověření. Kompromitace více než jednoho ověřovacího faktoru představuje pro útočníky značnou výzvu, protože znalost (nebo prolomení) hesla k získání přístupu do systému nestačí. Když povolíte MFA, předejdete tím 99,9 % útoků na své účty.2

Jak udělat MFA jednodušší

Vícefaktorové ověřování – ačkoli jsou kroky navíc součástí názvu, měli byste se snažit zvolit pro svoje zaměstnance takovou variantu MFA, která bude přinášet co nejméně nároků (například pomocí biometrických údajů v zařízeních nebo faktory kompatibilních s FIDO2, jako jsou bezpečnostní klíče Feitan nebo Yubico).

Vyhněte se tomu, aby byla MFA pro uživatele zatěžující.

Pokud může dodatečné ověřování pomoct ochránit citlivá data a kritické systémy, zvolte raději systém MFA, než abyste ověření aplikovali na každou jednotlivou interakci.

MFA nemusí být náročná pro uživatele. Používejte zásady podmíněného přístupu, které umožňují spouštět dvoufázové ověřování na základě detekce rizik, a také průchozí ověřování a jednotné přihlašování (SSO). Koncoví uživatelé tak nemusí podstupovat několik přihlašovacích sekvencí pro přístup ke sdílení nekritických souborů nebo kalendářům v podnikové síti, pokud jsou jejich zařízení vybavena nejnovějšími aktualizacemi softwaru. K lepší uživatelské zkušenosti přispěje i to, že nebude docházet k pravidelnému resetování hesla po 90 dnech.

Běžné phishingové útoky

Při phishingovém útoku používají zločinci taktiku sociálního inženýrství s cíle přimět uživatele poskytnout přístupové údaje nebo prozradit citlivé informace. Mezi běžné phishingové útoky patří:

Obrázek popisující běžné phishingové útoky (e-mail, nastrčení obsahu, manipulace s odkazy, cílený phishing a MITM)

Princip nulové důvěry (Zero Trust) je které jsou základním kamenem jakéhokoli plánu odolnosti, který omezuje dopad na organizaci.  Model nulové důvěry je proaktivní, integrovaný přístup k zabezpečení ve všech vrstvách digitálních prostředků, který explicitně a nepřetržitě ověřuje každou transakci, zajišťuje přístup na principu nejnižších nutných oprávnění a spoléhá na poznatky, včasnou detekci a reakci na hrozby v reálném čase.

Když zavedete přístup nulové důvěry, bude možné:
  • Podporovat práci na dálku a hybridní práci
  • Pomáhat předcházet škodám způsobeným narušením bezpečnosti nebo je snižovat
  • Identifikovat a pomáhat chránit citlivá podniková data a identity
  • Budovat důvěru ve svůj stav zabezpečení a zabezpečovací programy ve vedoucím týmu i v týmu zaměstnanců, partnerů, zúčastněných stran a zákazníků
Principy nulové důvěry (Zero Trust) jsou:
  • Předpokládat narušení zabezpečení  Předpokládejte, že útočníci mohou úspěšně napadnout cokoli (identitu, síť, zařízení, aplikaci, infrastrukturu atd.), a podle toho plánujte. To znamená neustálé monitorování prostředí kvůli možným útokům.
  • Provádět explicitní ověřování Před povolením přístupu k prostředkům explicitně ověřte, jestli jsou uživatelé a zařízení v dobrém stavu. Chraňte prostředky před ovládnutím ze strany útočníků explicitním potvrzením toho, že všechna rozhodnutí o důvěryhodnosti a zabezpečení využívají relevantní dostupné informace a telemetrii.
  • Využívat přístup s nejnižší možnou úrovní oprávnění Omezte přístup k potenciálně ohroženému prostředku pomocí zásad „podle potřeby“ a „přiměřená úroveň přístupu“ (JIT/JEA) a zásad založených na riziku, jako je adaptivní řízení přístupu. Je vhodné povolovat pouze oprávnění potřebná pro přístup k určitému prostředku, a žádná další.

Vrstvy zabezpečení typu nulová důvěra

Snímek obrazovky s monitorem počítače

Existuje „příliš přísné zabezpečení“

Příliš přísné zabezpečení – tedy zabezpečení, které je pro běžného uživatele příliš omezující – může vést ke stejnému výsledku jako nedostatečné zabezpečení, tedy k většímu riziku.

Přísné bezpečnostní procesy můžou lidem ztěžovat práci. A co hůř, můžou lidi inspirovat k hledání kreativních IT řešení, motivovat je k úplnému obcházení zabezpečení – někdy i používáním vlastních zařízení, e-mailů a úložišť – a k používání systémů, které mají (paradoxně) nižší zabezpečení a představují pro firmu vyšší riziko.

Používejte ochranu před malwarem pro rozšířenou detekci a reakci. Implementujte software, který bude detekovat a automaticky blokovat útoky a poskytovat přehledy o operacích zabezpečení.

Monitorování přehledů ze systémů detekce hrozeb je nezbytné k tomu, aby bylo možné včas reagovat na hrozby.

Nejlepší postupy automatizace zabezpečení a orchestrace

Přesuňte co nejvíc práce na svoje detekční systémy

Vybírejte a nasazujte senzory, které automatizují, korelují a propojují svoje zjištění před jejich odesláním analytikovi.

Automatický sběr upozornění

Analytik bezpečnostních operací by měl mít k dispozici vše, co potřebuje k třídění a reakci na výstrahu, aniž by musel provádět další sběr informací, jako je dotazování systémů, které mohou, ale nemusí být offline, nebo sběr informací z dalších zdrojů, jako jsou systémy správy prostředků nebo síťová zařízení.

Automatické stanovení priorit upozornění

Analýza v reálném čase by měla být využívána k prioritizaci událostí na základě analýzy hrozeb, informací o prostředcích a indikátorů útoků. Analytici a pracovníci reagující na incidenty by se měli zaměřit na výstrahy s nejvyšší závažností.

Zautomatizujte úkoly a procesy

Zaměřte se nejprve na běžné, opakující se a časově náročné administrativní procesy a standardizujte postupy reakcí. Jakmile se reakce standardizuje, automatizujte pracovní postup bezpečnostního analytika, abyste pokud možno odstranili veškeré lidské zásahy a mohli se soustředit na důležitější úkoly.

Soustavné vylepšování

Sledujte klíčové metriky a vylaďte senzory a pracovní postupy tak, abyste mohli provádět postupné změny.

Pomáhejte předcházet hrozbám, rozpoznávat je a reagovat na ně

Braňte se proti hrozbám ve všech pracovních úlohách s využitím komplexních funkcí prevence, detekce a reakce s integrovanými funkcemi rozšířené detekce a reakce (XDR) a správy akcí a informací o zabezpečení (SIEM).

Vzdálený přístup

Útočníci se často zaměřují na řešení vzdáleného přístupu (RDP, VDI, VPN atd.), aby se dostali do prostředí a prováděli průběžné operace s cílem poškodit interní zdroje.
Abyste zabránili útočníkům ve vstupu do systému, budete potřebovat:
  • Udržovat software a zařízení v aktualizovaném stavu
  • Vymáhat ověřování uživatelů a zařízení na principu nulové důvěry (Zero Trust)
  • Konfigurujte zabezpečení pro řešení VPN třetích stran
  • Publikujte místní webové aplikace

E-mail a software pro spolupráci

Další běžnou taktikou pronikání do prostředí je přenos škodlivého obsahu pomocí e-mailu nebo nástrojů pro sdílení souborů a následné přesvědčení uživatelů, aby jej spustili.
Abyste zabránili útočníkům ve vstupu do systému, budete potřebovat:
  • Zaveďte pokročilé zabezpečení e-mailu
  • Povolte pravidla pro omezení potenciální oblasti útoku, která blokují běžné útočné techniky
  • Kontrolujte přílohy na přítomnost hrozeb založených na makrech

Koncové body

Koncové body vystavené internetu jsou oblíbeným vstupním vektorem, protože poskytují útočníkům přístup k prostředkům organizace.
Abyste zabránili útočníkům ve vstupu do systému, budete potřebovat:
  • Blokovat známé hrozby pomocí pravidel pro omezení potenciálních oblastí útoku, která se zaměřují na určité chování softwaru, jako je spouštění spustitelných souborů a skriptů, které se pokoušejí stahovat nebo spouštět soubory, spouštění obfuskovaných nebo jinak podezřelých skriptů nebo provádění operací, které aplikace obvykle neiniciují při běžné každodenní práci.
  • Udržovat software v aktualizovaném stavu s dostupnou podporou
  • Izolovat, zakazovat nebo vyřazovat nezabezpečené systémy a protokoly
  • Blokovat neočekávaný provoz pomocí hostitelských firewallů a síťové ochrany

Buďte neustále bdělí

Používejte integrované nástroje XDR a SIEM k odesílání vysoce kvalitních výstrah a k minimalizaci náročnosti a manuálních kroků během reakce.

Odstavte starší systémy

Starší systémy, které postrádají bezpečnostní kontroly jako antivirové programy a řešení pro detekci a reakci na koncové body (EDR), mohou útočníkům umožnit provést celý řetězec útoku ransomwaru a exfiltrace z jediného systému.

Pokud není možné bezpečnostní nástroje nakonfigurovat na starší systém, je nutné systém izolovat buď fyzicky (prostřednictvím firewallu), nebo logicky (odstraněním překrytí pověření s jinými systémy).

Neignorujte komoditní malware

Klasický automatizovaný ransomware sice není tak sofistikovaný jako útoky z klávesnice, ale to neznamená, že je méně nebezpečný.

Pozor na protivníky, kteří umí vypnout na zabezpečení

Monitorujte prostředí a dávejte pozor na protivníky, kteří umí vyřadit zabezpečení (často jako součást řetězce útoků), například v podobě vymazání protokolu událostí – zejména protokolu událostí zabezpečení a operačních protokolů prostředí PowerShell – nebo zakázání nástrojů zabezpečení a ovládacích prvků (spojených s některými skupinami).

Neopravované a zastaralé systémy jsou klíčovým důvodem, proč se mnoho organizací stává obětí útoků. Zajistěte, aby všechny systémy byly aktuální, a to včetně firmwaru, operačního systému a aplikací.

Osvědčené postupy
  • Zajistěte odolnost zařízení používáním oprav, měněním výchozích hesel a výchozích portů SSH.
  • Omezte potenciální oblast útoku odstraněním nepotřebných připojení k internetu a otevřených portů, omezením vzdáleného přístupu blokováním portů, odepřením vzdáleného přístupu a používáním služeb VPN.
  • K monitorování neobvyklého nebo neoprávněného chování u zařízení, jako je například komunikace s neznámými hostiteli, používejte řešení pro detekci a reakci pro sítě (NDR) s podporou internetu věcí provozních technologií IoT/OT a řešení správy akcí a informací o zabezpečení (SIEM)/řešení pro orchestrace zabezpečení a reakce (SOAR).
  • Segmentujte sítě, abyste omezili možnost útočníků pohybovat se po počátečním proniknutí do sítě laterálně a ohrožovat prostředky. Zařízení Internetu věcí (IoT) a sítě provozních technologií (OT) by měly být izolovány od podnikových IT sítí prostřednictvím bran firewall.
  • Zajistěte, aby protokoly ICS nebyly vystaveny přímému přístupu z internetu.
  • Získejte podrobnější přehled o zařízeních IoT/OT ve vaší síti a určete u nich priority z hlediska podnikového rizika, pokud dojde k jejich napadení.
  • Používejte nástroje pro kontrolu firmwaru, abyste porozuměli potenciálním slabým místům v zabezpečení, a spolupracujte s dodavateli, abyste zjistili, jak zmírnit rizika u vysoce rizikových zařízení.
  • Pozitivně ovlivňujte zabezpečení zařízení IoT/OT tím, že budete od dodavatelů vyžadovat přijetí osvědčených postupů životního cyklu bezpečného vývoje.
  • Vyhýbejte se přenosu souborů, které obsahují definice systému, prostřednictvím nezabezpečených kanálů nebo pracovníkům, kteří je nepotřebují k práci.
  • Pokud je přenos takových souborů nevyhnutelný, nezapomeňte sledovat aktivitu v síti a zajistit, aby byly prostředky zabezpečené.
  • Chraňte inženýrské stanice monitorováním pomocí řešení EDR.
  • Proaktivně provádějte reakce na incidenty v sítích OT.
  • Nasazujte průběžného monitorování pomocí řešení, jako je Microsoft Defender for IoT.

Znalost důležitých dat, jejich umístění a implementace správných systémů je klíčová pro implementaci vhodné ochrany.

K výzvám v oblasti zabezpečení dat patří:
  • Omezení a zvládání rizika chyb ze strany uživatelů
  • Manuální klasifikace uživatelů je ve velkém měřítku nepraktická
  • Data musí být chráněna mimo síť
  • Nutnost souladu s předpisy a bezpečnost vyžadují komplexní strategii
  • Plnění stále přísnějších požadavků na shodu s předpisy
Pět pilířů strategie hloubkové obrany v oblasti zabezpečení dat
Dnešní hybridní pracovní prostory vyžadují přístup k datům z různých zařízení, aplikací a služeb z celého světa. Při takovém množství platforem a přístupových bodů musíte mít silnou ochranu proti krádeži a úniku dat. V dnešním prostředí nabízí nejlepší ochranu s cílem posílení zabezpečení dat přístup hloubkové obrany. Tato strategie se skládá z pěti složek, které mohou být zaváděny v pořadí, které vyhovuje jedinečným potřebám vaší organizace a případným regulačním požadavkům.
  • Identifikace datového prostředí
    Abyste mohli chránit svoje citlivá data, musíte vědět, kde se nacházejí a jak se k nim přistupuje. To si žádá úplný přehled o kompletní datové infrastruktuře, ať už lokální, hybridní nebo multicloudové.
  • Ochrana citlivých dat Vedle nutnosti vytvořit ucelenou mapu je třeba chránit data v klidu i při přenosu. Za tím účelem je třeba data přesně označit a klasifikovat, abyste získali přehled o tom, jak k nim přistupujete a jak se ukládají a sdílejí. Přesné sledování dat pomůže zabránit jejich úniku a narušení zabezpečení.
  • Řízení rizik I když jsou data řádně zmapována a označena, je třeba vzít v úvahu kontext, v jakém uživatelé s daty nakládají, a činnosti, které mohou vést k potenciálním incidentům zabezpečení dat, a to včetně interních hrozeb. Nejlepší přístup k řešení insiderských rizik propojuje správné lidi, procesy, školení a nástroje.
  • Ochrana před únikem informací Nezapomeňte na neoprávněné použití dat – i to se počítá jako ztráta. Efektivní řešení ochrany před ztrátou dat musí vyvážit aspekty ochrany a produktivity. Je důležité zajistit zavedení správných principů řízení přístupu a nastavení zásad, které pomohou zabránit činnostem, jako je nesprávné ukládání, shromažďování nebo tisk citlivých dat.
  • Řízení životního cyklu dat Vzhledem k tomu, že se řízení dat posouvá směrem k firemním týmům, které se stávají správci svých vlastních dat, je důležité, aby si organizace vytvořily jednotný přístup v rámci celého podniku. Tento druh proaktivní správy životního cyklu vede k lepšímu zabezpečení dat a pomáhá zajistit jejich zodpovědnou demokratizaci pro uživatele, aby mohla přinášet obchodní hodnotu.

Přestože se aktéři hrozeb neustále vyvíjejí a jsou stále sofistikovanější, je třeba zopakovat jeden fakt o kybernetické bezpečnosti: Základní hygiena kybernetické bezpečnosti – zapnutí MFA, uplatňování zásad nulové důvěry (Zero Trust), aktualizace, používání moderního antimalwaru a ochrana dat – zabrání 98 % útoků.

Pro ochranu před kybernetickými hrozbami, minimalizaci rizik a zajištění trvalé životaschopnosti vaší organizace je nezbytné dodržovat minimální standardy pro hygienu kybernetické bezpečnosti.

Související články

61% nárůst phishingových útoků. Seznamte se s moderními potenciálními oblastmi útoku.

Aby stačily na čím dál komplikovanější potenciální oblast útoků, musí organizace zaujmout komplexní postoj k zabezpečení. Tato zpráva vám na šesti potenciálních oblastech útoku ukáže, jak může správná analýza hrozeb pomoct zvrátit situaci ve prospěch obránců.
Další informace

Fenomén kybernetických trestných činů jako služby (CaaS) je příčinou 38% nárůstu podvodů s firemními e-maily

Ohrožení zabezpečení firemních e-mailů (BEC) je nyní na vzestupu, protože kyberzločinci mohou maskovat zdroj útoků a být tak ještě zákeřnější. Další informace o CaaS a o tom, jak můžete pomoct ochránit vaši organizaci
Další informace

Zabezpečení zaměřené na cloud: Jak přední manažeři informační bezpečnosti odstraňují mezery v pokrytí

Manažeři pro informační bezpečnost sdílejí měnící se bezpečnostní priority v souvislosti s přechodem jejich organizací a veškerých digitálních prostředků na modely zaměřené na cloud a související výzvy.
Další informace

Sledujte Microsoft