EY. Рекомендації щодо запобігання та мінімізації негативних наслідків програм-вимагачiв

[bga68comp]

EY. Рекомендації щодо запобігання та мінімізації негативних наслідків програм-вимагачiв

Компанія EY

Рекомендації щодо запобігання та мінімізації негативних наслідків атак програм-вимагачів наведено нижче.

Рекомендації:

1. Заблокувати вхідні з'єднання з Інтернету за протоколами SMB і RDP (порти 445, 139, 3380).


2. Заборонити використання протоколу SMBv1 у внутрішній мережі компанії.


3. Переконатися в тому, що всі робочі станції і сервери під управлінням MS Windows мають всі необхідні оновлення (особливо # MS17-010).


4. Провести інвентаризацію і відключити всі невикористовувані мережеві ресурси.


5. Провести ревізію прав доступу користувачів до мережевих ресурсів.


6. Тимчасово призупинити можливість підвищення привілею для програмного забезпечення на робочих станціях.


7. Змінити паролі адміністративних облікових записів і включити запис всіх дій таких облікових записів.


8. Переконатися в наявності безпечних резервних копій всіх критично важливих даних.


9. Переконатися в тому, що доступ користувачів до резервних копій здійснюється тільки з правами «на читання». Запис резервних копій здійснювати з використанням спеціальних облікових записів.


10. Донести до співробітників організації інформацію про дану загрозу інформаційній безпеці і нагадати правила роботи з електронною поштою і мережею Інтернет.


11. Відключити використання макросів в продуктах MS Office.


12. Організувати відстеження оновлень, інформаційних повідомлень і рекомендацій як виробників програмного і апаратного забезпечення, що використовує ваша організація, так і незалежних центрів з кібербезпеки на предмет відповідного реагування на дану загрозу.


13. Переконатися в тому, що постачальники ключових сервісів організації не постраждали від атаки, продовжують нормально функціонувати і їм не потрібна допомога вашої компанії у вирішенні інциденту.


14. У разі якщо зараження вже ідентифіковано:

• Терміново виконати відключення зовнішніх носіїв інформації (зокрема всі мережеві підключення).


• Забезпечити збереження і цілісність даних (включно з уже зашифрованими).


• Повідомити про даний інцидент співробітникам інформаційної безпеки.


• Активувати план управління інцидентами з інформаційної безпеки.


• Активувати план управління безперервністю роботи бізнесу і відновлення ІТ після збоїв і переривань.


• Протоколювати всі основні дії, проводити збір фактів, що підтверджують інцидент і вжиті заходи.

EY пропонує самостійно або з залученням зовнішніх консультантів виконати експрес-оцінку рівня безпеки, в тому числі наступні кроки:

• Виконання інвентаризації програмного забезпечення, включаючи оцінку критичності інформаційних активів.


• Аналіз повноти і надійності механізмів резервування і відновлення даних.


• Аналіз повноти політик і заходів забезпечення безперервності бізнесу, а також реагування на інциденти.


• Аналіз достатності та повноти виконаних оновлень програмного забезпечення.


• Аналіз повноти і достатності процедур управління конфігурацією, патч-менеджменту і управління вразливостями.


• Аналіз заходів управління знаннями в області ІБ і підвищення обізнаності користувачів.


• Аналіз можливості компрометації інфраструктури.


• Аналіз подій інформаційної безпеки у внутрішній мережі компанії.


• Ідентифікація недозволеного / забороненого програмного забезпечення.


• Розслідування інцидентів, включаючи збір юридично значимих свідчень і фактів компрометації:
  
  
  • аналіз вихідних з'єднань з мережею Інтернет
  
  
  • аналіз наявності шкідливого програмного забезпечення
  
  
  • аналіз рівня та прав доступу до мережевих ресурсів
  
  
  • аналіз наявності підозрілих облікових записів
  
  
  • відновлення ланцюжка подій, які призвели до компрометації інфраструктури.