3 faze sajber napada i odbrane – šta morate da znate

Donosimo vam preporuke šta raditi pre, za vreme i nakon sajber napada.

3 faze sajber napada i odbrane – šta morate da znate

Postaje standard da odgovorni IT sektori donose planove reagovanja u slučaju sajber-incidenata. Postavlja se pitanje kako spremiti organizaciju da odgovori na ove pretnje.

Najviše glavobolja IT sektorima u 2017. godini zadaju pretnje od sajber napada. Više nije dovoljno samo držati stvari na oku i nadati se najboljem. Ima i onih naivnih koji misle da je njihova organizacija premala ili „nezanimljiva“ sajber kriminalcima. Oni moraju da shvate sledeće – ako je bitno vama, bitno je i njima! Istovremeno, svedoci smo pojave novih, sofisticiranih tehnika napada koji se odvijaju tiho zbog čega ih je mnogo teže uočiti i adekvatno i pravovremeno reagovati.

Donosimo vam preporuke šta raditi pre, za vreme i nakon sajber napada:

1. Faza pre napada

Niko ne može da zna u kom tačno trenutku će biti napadnut, ali postoje koraci koji mogu minimizirati takvu mogućnost. Veoma bitna kariku u pripremi odbrane od sajber napada je edukacija zaposlenih. U tom smislu, potrebno je da svi u kompaniji (ne samo IT sektor) razumeju koje sve vrste pretnji postoje i kako na njih da reaguju. Poželjno je da stvorite kulturu ponašanja u kojoj će važiti princip „triput meri, jednom seci“, odnosno da zaposleni nauče da primećuju znake upozorenja kada nešto deluje sumnjivo.

Jedan od primera sve češćih sajber napada je biznis imejl prevara koja je još poznata kao BEC ili direktorska imejl prevara. Kod ove vrste prevare napadač, pretvarajući se da je neko od rukovodilaca kompanije (finansijski ili generalni direktor), šalje imejl nekom od zaposlenih sa zahtevom da se izvrši transfer novca ili da mu pošalje lozinku. Primalac ovakve poruke mora da bude oprezan i da proveri da li u takvom zahtevu ima nečeg neuobičajenog. Na primer, da li je ton u kome je napisan imejl neuobičajeno formalan ili pak previše neformalan? Da li je nešto drugačije kada je u pitanju font ili odvajanje reči/rečenica? Ako jeste, primalac bi trebalo da detaljnije pogleda imejl adresu. Možda na prvi pogled izgleda isto, ali kada se obrati pažnja moguće je da je neko slovo zamenjeno ili potpuno drugačije.

Trening zaposlenih po pitanju sajber bezbednosti nije jednokratna aktivnost, već se mora redovno obavljati kako bi zaposleni uvek bili upoznati sa najnovijim metodama napada i koracima koji treba da se preduzmu.

Takođe, veoma je bitno da organizacija bude pokrivena sa tehničke strane. Koje AV i AM rešenje organizacija koristi? Da li se obavlja redovno ažuriranje i zakrpa softvera i OS-a? Gde se i kako čuvaju fajlovi i softver?

Pretnja kao što je ransomware će, na primer, skenirati vašu mrežu i kriptovati sve fajlove koje nađe. Zbog toga su mnogi vendori razvili softver koji skenira aktivnost fajlova kako bi detektovao da li ih korisnik kriptuje. Proverite da li i vaš anti-malver vendor nudi ovakvu mogućnost, jer možda je baš to stvar koja će vas spasiti od ransomware napada.

2. Faza u toku napada

Jedna od najgorih stvari koje mogu da se dese kompaniji je da je sajber napad uhvati nespremnu. Najboji način da se ublaže posledice sajber napada je da postoji detaljan i dobro uvežban plan reagovanja u slučaju incidenta koji se momentalno može pokrenuti. Plan bi trebalo da sadrži više detalja, uključujući i informacije o tome koga kontaktirati.

Bitno je da napad prijavite nadležnim državnim organima. U Srbiji se sajber-napadi prijavljuju Odeljenju za visokotehnološki kriminal, odnosno policiji koja takve prijave šalje pomenutom odeljenju.

Još jedan bitan aspekt plana reagovanja u slučaju sajber incidenata je obaveštavanje javnosti. Nije retkost da kompanije kriju od javnosti da su doživele sajber napad, a da se to kasnije otkrije i uništi im reputaciju, odnosno ozbiljno poljulja poverenje kupaca, dobavljača i zaposlenih. Zato je od ključnog značaja da kompanija ima spremne strategije interne i eksterne komunikacije.

3. Faza nakon napada

Sajber napad je verovatno najveća noćna mora za jednog IT direktora. Ukoliko dođe do napada, tehnička lica u timu za reagovanje u slučaju incidenata moraju da otkriju kako se tačno napad dogodio. Da li je do napada došlo zbog loše konfiguracije web servera? Nisu urađene zakrpe za Windows radne stanice? Web proxy podešavanja daju previše ovlašćenja? Identifikujte izvor kako bi sprečili da ponovo budete napadnuti na isti način. U suprotnom, naći ćete se u začaranom krugu stalnog čišćenja i ponovnih infekcija.

Kada izbacite i onemogućite napadačima pristup korporativnom sistemu, i kada utvrdite razmere štete, pristupa se saniranju posledica (popraviti što je više moguće). To često uključuje reinstalaciju kompromitovanih sistema sa „čistih“ medija i vraćanje fajlova iz backupa. Zatim, potrebno je rekonfigurisati mrežu i serverski softver, a onda pratiti njihov rad neko vreme kako bi se uverili da je sve u normali.

„U svakom zlu ima nešto dobro“, kaže poznata poslovica. Da biste iz zla zvanog sajber napad izvukli nešto dobro, potrebno je da kao organizacija izvučete što više pouka iz napada. Rezultati detaljne analize napada se moraju implementirati u bezbednosne polise kompanije.

Potrebno je da razumete ranjivosti koje su napadači eksploatisali. Često je to ljudski faktor. Postavite sebi sledeća pitanja: Da li je obuka zaposlenih po pitanju sajber bezbednosti na najvišem mogućem nivou? Da li je neurađena zakrpa sistema dovela do ranjivosti?

Koristite prikupljene informacije za procenu uticaja napada na poslovanje kako bi rukovodioci kompanije doneli strateške mere za sprečavanje napada u budućnosti. Analiza rizika može pokazati da se isplati uložiti više u bezbednosnu obuku zaposlenih ili u promene u menadžment procesima.

Niko ne voli da se nađe u nevolji, ali pravi test za karakter IT menadžera je kako se sa njom suočava. Kada hakeri napadnu, odgovoran IT menadžer će imati spremne alate, procese i kontakte da im odgovori.

Izvor: itproportal.com