Tet Cloud mājaslapa neatbalsta Internet Explorer pārlūku

Tet Cloud mājaslapa neatbalsta Internet Explorer pārlūku

Iesakām izvēlēties citu interneta pārlūku - Google Chrome, Mozilla Firefox vai Microsoft Edge

 

Pārskatot pēdējā gada laikā veikto IT drošības auditu rezultātus, esam identificējuši negatīvu tendenci - 10 drošības nepilnības, kas atkārtojas 80% organizāciju. Lai gan ikviens no mums ir informēts, piemēram, par paroļu drošības un rezerves kopiju svarīgumu, tomēr turpinām kāpt uz grābekļiem. Rakstā apkopots pārskats par biežākajām kļūdām, ko turpinām pieļauj IT pārvaldībā. Līdera pozīcijā joprojām saglabājas paroļu drošības jautājums. Aicinām izskatīt apkopotās IT drošības nepilnības un noskaidrot, vai arī jūsu organizācija turpina pieļaut tās pašas kļūdas.

  1. Paroļu politikas trūkums

Organizācijā nav formāli definēta paroļu politika (izstrādāta IT drošības politikas ietvaros). Bet ja ir, tad neatspoguļo praksē realizēto konfigurāciju. Neatkarīgi no organizācijas nozares, jāizstrādā organizācijai pieņemamu iekšējo politiku par to, kā lietojamas informācijas sistēmas, kā organizēta IT drošības pārvaldība un kādi ir tās pamatprincipi. Politika ļauj noteikt visiem darbiniekiem atbildību par veiktajām aktivitātēm IT resursos un, tai skaitā, noteikt paroļu drošības prasības. Bez formāli definētas paroļu politikas un lietotāja atbildības darbiniekam ir ļauta rīcības brīvība. Protams, vienīgais ierobežojums visatļautībai ir darbinieka sirdsapziņa un ieviestās tehniskās drošības kontroles (konfigurācija). Pretējā gadījumā darbinieks var neizmantot paroli vai izmantot nedrošu, 4 rakstzīmju garu paroli, un to glabāt pierakstītu uz galda, dalīties ar kolēģiem un tml. Darbā ar informācijas sistēmām ir klātesoši tādi paši noteikumi kā citur – viss, kas nav aizliegts, ir atļauts. Tādēļ mūsu pienākums ir nodrošināt, ka tehniskās drošības kontroles ļauj paveikt tikai to, kas ir ļauts un neko vairāk.

  1. MFA neizmantošana

Multi-faktoru autentifikācijas mehānismi netiek izmantoti pat tad, ja risinājumam MFA funkcionalitāte ir pieejama. Labākā prakse nosaka nepaļauties tikai uz lietotājvārdu un paroli, bet papildināt ar vēl vienu aizsardzības “faktoru”. Piemēram, SMS apstiprinājumu, mobilajā lietotnē ievadītu PIN kodu utt. MFA ir efektīva drošības kontrole, kas minimizē risku piekļuves kompromitēšanai un lietotāja identitātes zādzībai. Tādēļ ir ieteikums izmantot MFA visām publiski sasniedzamām sistēmām un ne tikai - e-pastam, administrēšanas saskarnei tīkla iekārtām, mājaslapām, sociālo tīklu un citu vietņu korporatīvajiem kontiem.

  1. Priviliģēto lietotāju “nepārvaldība”

Organizācijās novērojami divi scenāriji. Vienā gadījumā administratoram ir pieejams tikai privileģēts konts (administratora), otrā gadījumā pieejami ir divi (standarta un administratora). Neatkarīgi no scenārija IT speciālisti ikdienā neizmanto standarta tiesību līmeņa kontu. Par iemeslu tam lielākoties min neērtību, ko rada paroles ievadīšana, pārslēdzoties starp kontiem. Ņemot vērā statistikas kāpumu ar gala lietotāju aktivitātēm saistītiem uzbrukumiem (šifrovīrusi, trojāni u.c.), pieaug kiberuzbrukumu risks un seku likvidācijas izmaksas.

Diemžēl praksē lietotāju kontus ar priviliģētām tiesībām lieto ne tikai IT personāls, bet arī struktūrvienību un organizāciju vadītāji, izmantojot sava statusa pilnvaras, rīkojas pretēji drošības rekomendācijām. Administratora konts nevērīga lietotāja pārvaldībā palielina kiberuzbrukuma risku uzņēmuma IT infrastruktūrai, bet risks ir operatīvi minimizējams. Ievērojot lietotāju kontu pārvaldības labāko praksi, lietotājiem ir jāpiešķir minimālās tiesības jeb tikai tādas tiesības, kas nepieciešamas, lai veiktu ikdienas darba pienākumus. Priviliģētas tiesības ir piešķiramas izņēmuma kārtā un tikai administrēšanas uzdevumu izpildei.

  1. Neaizsargātas informācijas sistēmas (IS)

Nav veikti sistēmas nocietināšanas pasākumi. Konfigurācijas pārskats ir jāveic jaunas sistēmas, programmatūras un iekārtas uzstādīšanas laikā. Ekspluatācijā esošo IT resursu nocietināšanas pasākumi ir laikietilpīgi, tiek aizmirsti un atrodas ar zemu prioritāti veicamo darbu sarakstā. Kā rezultātā atvērto portu, servisu, konfigurācijas nepilnības un citu faktoru dēļ veidojas plaša uzbrukuma virsma (attack surface). Kā minimālie drošības pasākumi ir ievainojamību pārbaudes zināmo nepilnību noteikšanai, neizmantotu portu un servisu noslēgšana un funkcionalitāšu slēgšana, kam nav biznesa nepieciešamība (ievērojot minimāli nepieciešamās tiesības).

  1. Vāja datu plūsmas kontrole

Ja tīkla perimetra aizsardzība ir daļēji novērojama ikvienā organizācijā (ugunsmūris), tad lokālā tīkla aizsardzība ir organizāciju klupšanas akmens. Iespējams, ārējos draudus ir vieglāk izprast un definēt, tādēļ uzstādām tīkla ārējos ieejas punktos ugunsmūri un jūtamies pārliecināti par tīkla satiksmes drošību. Kā rezultātā korporatīvā tīkla struktūra netiek segmentēta un nav ieviests ugunsmūris starp-segmentu datu plūsmas kontrolei. Lai kontrolētu un identificētu datu plūsmu iekšējā tīkla ietvaros, jāievieš strikti ugunsmūra noteikumi (rules). Starp-segmentu komunikācija ir jādefinē ugunsmūrī – jāliedz tieša komunikācija starp segmentiem, jāļauj tikai minimāli nepieciešamā. Piemēram, ICMP (Internet Control Message Protocol) pieprasījumi tikai no menedžmenta tīkla, darbstacijām liegt komunikāciju ar serveriem, videokamerām, medicīnas un SCADA (Supervisory Control and Data Acquisition) iekārtām.

  1. Neaizsargātas rezerves kopijas

Veidojam rezerves kopijas – dublējam, replicējam datus, veidojam pilnas sistēmu rezerves kopijas, bet nenošķiram no darbstaciju tīkla. Uzglabājam rezerves kopijas tajā pašā korporatīvajā tīklā vai segmentā kopā ar pamata datiem. Vai vēl sliktāk – rezerves kopija paliek pieejama kā tīkla mape. Attiecībā uz rezerves kopijām jāievēro īpaša piesardzība tīkla loģiskajā līmenī, lai ieviestu striktu piekļuves kontroli – jādefinē ACL (Access-Control List), jānodrošina piekļuve tikai no definētām IP adresēm (vadības tīkls), kopijas jāglabā izdalītā tīkla segmentā vai (ja pieejami resursi) fiziski nodalītā tīklā. Tikai ar striktu tīkla kontroli ir iespējams minimizēt riskus vienlaikus ar pamata datu kompromitēšanu, nepazaudēt vīrusiem un hakeriem arī rezerves kopijas. Tāpat nedrīkst aizmirst, ka rezerves kopijas ir kas vairāk par dokumentu failiem. Jāveic to periodiska testēšana, lai pārliecinātos, ka faili ir atjaunojami un tiek veidoti pietiekamā apjomā.

  1. Neaizsargāti organizāciju domēni

Diemžēl nereti par DNS aizsardzību tiek aizmirsts. DNSSEC (Domain Name System Security Extensions) un citi DNS aizsardzības mehānismi ir pamata drošības veicamie pasākumi (ietverti arī Ministru kabineta noteikumos Nr.442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”). Jāveic DMARC (Domain-based Message Authentication, Reporting & Conformance), DKIM (DomainKeys Identified Mail) un SPF (Sender Policy Framework) ieraksta izveide, lai aizsargātu organizācijas domēnu, e-pastu neautorizētu izsūtīšanu organizācijas vārdā (spoofing), mazinātu reputācijas draudus un IT riskus. Minētie drošības mehānismi ļauj pierādīt, ka organizācija ir autorizēta izsūtīt e-pastus ar attiecīgo domēna vārdu, tādējādi aizsargājot domēna neautorizētu izmantošanu (piemēram, pikšķerēšanas e-pasti ar organizācijas domēnu). Turklāt ir jāaizsargā visi organizācijas domēna vārdi, ne tikai tas, kuru izmantojam e-pasta sūtīšanai.

  1. SSL neizmantošana iekštīklā

Maldīgi uzskatām lokālajā tīklā izvietotos resursus par aizsargātiem, ja tie izvietoti aiz vārtejas ugunsmūra. Iekšējiem resursiem, kam pieejamas WEB saskarnes, netiek uzstādīti SSL sertifikāti. Šī iemesla dēļ lokālie organizāciju resursi ir viegls mērķis neautorizētai piekļuvei. Turklāt plaintext datu pārraides pārtveršanu atvieglo nepārdomāta Wi-Fi konfigurācija (nedrošas paroles, vāji autentificēšanās mehānismi, piemēram, WEP (Wired Equivalent Privacy) un piekļuve korporatīvajiem resursiem no bezvadu tīkla (skatīt 9.punktu).

  1. W-Fi tīklu nepārvaldīšana

Nodalām viesu Wi-Fi tīklu no korporatīvā tīkla, kas ir atbilstoši labākajai praksei. Tomēr piekļuvi tīklam “aizsargājam” ar koplietojamu paroli un pieņemam, ka šādi tiek realizēta optimāla iekšējā tīkla drošība. Šādā scenārijā rodas riski IT infrastruktūras kompromitēšanai, datu zādzībai un organizācijas pamatdarbības dīkstāvei (piemēram, ražošanas iekārtu atslēgšanas, datubāžu dzēšanas gadījumā u.tml.).

Ieteikums ir kā minimums liegt tiešu piekļuvi organizācijas iekšējiem resursiem, ierobežojot piekļuvi tikai ar autorizētām (organizācijas) iekārtām un izmantojot VPN. Papildu drošībai ieteicams ieviest lietotāju autentificēšanās mehānismus, piemēram, RADIUS (Remote Authentication Dial-In User Service), lai nodrošinātu lietotāju kontu autentificēšanu un individuālu paroļu izmantošanu.

  1. Auditācijas pieraksti (logi)

Lai gan mūsdienās varam pieņemt, ka auditācijas pieraksti ir pieejami visos IT risinājumos (aplikāciju, sistēmu, drošības u.c.), tomēr to saturs var būtiski atšķirties. Turklāt katrs ražotājs nosaka noklusētos auditācijas pierakstu uzstādījumos. Kā rezultātā, ja IT administrators nav veicis pamata uzstādījumu pārskatu un konfigurācijas pielāgošanu, daudzos gadījumos auditācijas pieraksti ietver nepilnīgu informāciju un pēc to izveides netiek uzglabāti. Organizācijai jānodrošina, ka logi tiek veidoti un uzglabāti vismaz 6-18 mēnešus (atkarībā no datu būtiskuma), pārsūtīti ārpus pamata sistēmas un aizsargāti līdzvērtīgi rezerves kopijām. Pierakstu glabāšana ārpus pašas sistēmas ļauj nodrošināt datu integritāti, savukārt, pierakstu uzglabāšana ļauj pārskatīt ierakstus par notikumiem un veikt izmeklēšanu drošības incidenta gadījumā.

Pārskatot populārākos “klupšanas akmeņus”, redzams, ka visi 10 punkti skar IT pārvaldībā jau zināmus riskus – sākot no paroļu pārvaldības un atjauninājumu trūkuma līdz konfigurācijas pasākumu (hardening) un tīkla satiksmes kontroles neveikšanai. Būtiskākais jautājums ir kādēļ turpinām pieļaut vienas un tās pašas kļūdas? Kādēļ 2022.gadā turpinām runāt par tiem pašiem IT drošības  pamatprincipiem, tai skaitā, paroļu politiku, ja pamatprincipi ir zināmi? Atbilde uz jautājumu saistīta ar katras organizācijas vadību un tās pārvaldības politiku. Tomēr vienojošais faktors ir risku analīzes trūkums, kas ietekmē kiberdraudu izpratni un IT drošības zemo prioritāti. Kamēr neizprotam finansiālo slogu un sekas, kas radīsies kiberdraudu realizēšanās gadījumā, tikmēr nespēsim redzēt IT drošību kā stūrakmeni uzņēmuma stabilitātei.

Autore: Ieva Lauga, Tet informācijas sistēmu drošības auditore

Paldies par ziņu.

Sazināsimies ar Jums 48 stundu laikā!

Sazinies

Aizpildiet kontaktformu! Mēs ar lielāko prieku sazināsimies, lai atbildētu uz visiem Jūsu jautājumiem.

Šo vietni aizsargā reCAPTCHA, un tiek piemērota Google Privātuma politika un Pakalpojumu sniegšanas noteikumi.