We współczesnej erze cyfrowej firmy coraz bardziej są uzależnione od technologii i systemów online w celu prowadzenia swojej działalności. Dlatego spełnienie minimalnych standardów dotyczących higieny cybernetycznej jest niezbędne do ochrony przed cyberzagrożeniami, minimalizowania ryzyka i zapewniania ciągłej rentowności firmy.
Podstawowe środki higieny zabezpieczeń nadal chronią przed 98% ataków.1
Chcesz ograniczyć ataki na swoje konta? Włącz uwierzytelnianie wieloskładnikowe. Uwierzytelnianie wieloskładnikowe, tak jak sugeruje jego nazwa, wymaga co najmniej dwóch składników weryfikacji. Naruszenie więcej niż jednego składnika uwierzytelniania stanowi znaczne wyzwanie dla atakujących, ponieważ znajomość hasła (lub złamanie go) nie wystarczy do uzyskania dostępu do systemu. Włączone uwierzytelnianie wieloskładnikowe pozwala zapobiec 99,9% ataków na konta.2
Dodatkowe kroki stanowią część nazwy uwierzytelniania wieloskładnikowego, jednak należy próbować wybrać taką opcję uwierzytelniania wieloskładnikowego, która wiąże się z najmniejszymi niedogodnościami dla pracowników (taką jak używanie biometryki w urządzeniach lub składników zgodnych z FIDO2, takich jak klucze zabezpieczeń Feitan albo Yubico).
Unikaj uciążliwego uwierzytelniania wieloskładnikowego.
Wybierz uwierzytelnianie wieloskładnikowe, gdy dodatkowe uwierzytelnianie może pomóc chronić dane poufne i systemy krytyczne, zamiast stosować je do każdej pojedynczej interakcji.
Uwierzytelnianie wieloskładnikowe nie musi być wymagające dla użytkownika końcowego. Używaj zasad dostępu warunkowego, które umożliwiają wyzwalanie weryfikacji dwuetapowej na podstawie wykryć ryzyka, a także uwierzytelniania z przekazywaniem i logowania jednokrotnego (SSO). Dzięki temu użytkownicy końcowi nie będą musieli przechodzić wielu sekwencji logowania w celu uzyskania dostępu do niekrytycznych udziałów plików lub kalendarzy w sieci korporacyjnej, gdy na ich urządzeniach są na bieżąco instalowane najnowsze aktualizacje oprogramowania. Użytkownicy nie będą także mieć resetowania hasła co 90 dni, co znacznie poprawi ich środowisko pracy.
W ataku mającym na celu wyłudzenie informacji przestępcy stosują taktyki inżynierii społecznej, aby nakłonić użytkowników do podania poświadczeń dostępu lub ujawnienia poufnych informacji. Typowe ataki mające na celu wyłudzenie informacji obejmują:
Jeśli chcesz dowiedzieć się więcej na temat haseł i tożsamości, zapoznaj się z poniższymi zasobami firmy Microsoft.
Model Zero Trust jest fundamentem każdego planu odporności służącego do ograniczania wpływu na organizację. Model Zero Trust to proaktywne, zintegrowane podejście do zabezpieczeń we wszystkich warstwach infrastruktury cyfrowej, które jawnie i stale weryfikuje każdą transakcję, zapewnia dostęp o najmniejszych uprawnieniach oraz polega na analizie, wykrywaniu z wyprzedzeniem i reagowaniu w czasie rzeczywistym na zagrożenia.
Nadmiar zabezpieczeń — czyli zabezpieczenia, które wydają się nadmiernie restrykcyjne dla użytkownika mającego z nimi styczność każdego dnia — może prowadzić do tego samego rezultatu co brak wystarczających zabezpieczeń: większego ryzyka.
Rygorystyczne procesy zabezpieczeń mogą utrudniać użytkownikom wykonywanie pracy. Co gorsza, mogą zainspirować ich do znalezienia kreatywnych obejść w stylu niezatwierdzonych zasobów IT, motywując ich do całkowitego pomijania zabezpieczeń — czasami przez używanie własnych urządzeń, poczty e-mail i magazynu — oraz korzystania z systemów, które (jak na złość) mają gorsze zabezpieczenia i stanowią większe ryzyko dla firmy.
Jeśli chcesz dowiedzieć się więcej na temat modelu Zero Trust, zapoznaj się z poniższymi zasobami.
Używanie oprogramowania chroniącego przed złośliwym kodem dla zapewnienia rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie. Wdrażaj oprogramowanie wykrywające i automatycznie blokujące ataki oraz udostępniające szczegółowe informacje o operacjach zabezpieczeń.
Monitorowanie szczegółowych informacji z systemów wykrywania zagrożeń ma zasadnicze znaczenie dla możliwości reagowania na zagrożenia na czas.
Przeniesienie możliwie największej pracy do mechanizmów wykrywania
Wybierz i wdróż czujniki, które automatyzują, korelują i łączą ze sobą swoje wnioski przed wysłaniem ich do analityka.
Zautomatyzowanie zbierania alertów
Analityk operacji zabezpieczeń powinien mieć wszystko, czego potrzebuje, aby sklasyfikować alert i zareagować na niego bez przeprowadzania żadnego dodatkowego zbierania informacji, takiego jak wykonywanie zapytań w systemach, które mogą być w trybie offilne lub nie, albo zbieranie informacji z dodatkowych źródeł, takich jak systemy zarządzania zasobami lub urządzenia sieciowe.
Zautomatyzowanie ustalania priorytetów alertów
Należy korzystać z analizy w czasie rzeczywistym w celu ustalania priorytetów wydarzeń na podstawie źródeł analizy zagrożeń, informacji o zasobach oraz wskaźników ataku. Analitycy i osoby reagujące na zdarzenia powinni skupiać się na alertach o najwyższej ważności.
Zautomatyzowanie zadań i procesów
Najpierw zajmij się typowymi, powtarzalnymi i czasochłonnymi procesami administracyjnymi i ustandaryzuj procedury reagowania. Gdy reakcja zostanie ustandaryzowana, zautomatyzuj przepływ pracy analityka operacji zabezpieczeń w celu usunięcia wszelkich interwencji człowieka tam, gdzie to możliwe, aby umożliwić mu skupienie się na bardziej krytycznych zadaniach.
Ciągłe korygowanie
Monitoruj kluczowe metryki i dostosuj czujniki oraz przepływy pracy, aby wprowadzić przyrostowe zmiany.
Zapewnianie stałego czuwania nad bezpieczeństwem
Używaj zintegrowanych funkcji XDR i SIEM, aby dostarczać alerty wysokiej jakości oraz zminimalizować wysiłek i czynności wykonywane ręcznie podczas reagowania.
Przygotowywanie starszych systemów
Starsze systemy, w których brakuje mechanizmów kontroli bezpieczeństwa, takich jak oprogramowanie antywirusowe oraz rozwiązania do wykrywania i reagowania w punktach końcowych (EDR), mogą umożliwić atakującym przeprowadzenie całego łańcucha ataku przy użyciu oprogramowania wymuszającego okup i eksfiltracji z pojedynczego systemu.
Jeśli skonfigurowanie narzędzi zabezpieczeń dla starszego systemu jest niemożliwe, musisz odizolować system fizycznie (przez zaporę) lub logicznie (przez usunięcie nakładania się poświadczeń z innymi systemami).
Nie ignoruj masowo rozpowszechnianego złośliwego oprogramowania
Klasyczne zautomatyzowane oprogramowanie wymuszające okup może nie być tak wyrafinowane jak ataki przeprowadzane ręcznie z klawiatury, ale nie jest przez to mniej niebezpieczne.
Uważaj na wroga wyłączającego zabezpieczenia
Monitoruj swoje środowisko pod kątem wrogów wyłączających zabezpieczenia (co często stanowi element łańcucha ataku) na przykład przez czyszczenie dziennika zdarzeń — zwłaszcza dziennika zdarzeń zabezpieczeń i dzienników operacyjnych usługi PowerShell — oraz wyłączanie mechanizmów kontroli i narzędzi zabezpieczeń (skojarzonych z pewnymi grupami).
Systemy bez wprowadzonych poprawek lub przestarzałe są głównym powodem tego, że wiele organizacji staje się ofiarami ataku. Upewnij się, że wszystkie systemy są aktualizowane, łącznie z oprogramowaniem układowym, systemem operacyjnym i aplikacjami.
Wiedza o ważnych danych, o tym, gdzie się znajdują i czy są wdrożone właściwe systemy, ma istotne znaczenie dla wdrażania odpowiedniej ochrony.
Pomimo tego, że czynniki stanowiące zagrożenie nadal ewoluują i stają się coraz bardziej wyrafinowane, należy powtórzyć truizm dotyczący cyberbezpieczeństwa: podstawowa higiena cyberbezpieczeństwa — włączenie uwierzytelniania wieloskładnikowego, stosowanie reguł modelu Zero Trust, zapewnianie aktualizacji, używanie nowoczesnego oprogramowania chroniącego przed złośliwym kodem oraz chronienie danych — zapobiega 98% ataków.
W celu ułatwienia ochrony przed cyberzagrożeniami, minimalizowania ryzyka i zapewniania ciągłej rentowności organizacji niezbędne jest spełnienie minimalnych standardów dotyczących higieny cybernetycznej.
Obserwuj rozwiązania zabezpieczające firmy Microsoft