
Varovanie pred zvýšeným rizikom kybernetických bezpečnostných útokov
Národné centrum kybernetickej bezpečnosti (NCKB) varuje pred zvýšeným rizikom kybernetických bezpečnostných útokov a to najmä na infraštruktúru prevádzkovateľov základných služieb a prvkov kritickej infraštruktúry.
Prevádzkovatelia základných služieb a prvkov kritickej infraštruktúry, a tiež všetky vzdelávacie inštitúcie, by sa mali pripraviť na
- ďalšiu masívnu vlnu výhražnej bombovej e-mailovej kampane
- ransomvérové útoky
- skenovanie zraniteľností v systémoch
- spearphishingové útoky na základe predchádzajúcich únikov informácií
Výhražná bombová kampaň
Minulý týždeň zasiahla školy v Maďarsku ďalšia vlna e-mailov, vyhrážajúcich sa bombovým útokom. Včera prebehla tá istá kampaň voči 800 školám v Slovinsku. Keďže na základe technickej analýzy sa s veľkou pravdepodobnosťou jedná o rovnakého aktéra, ktorý zasielal výhražné e-maily na slovenské školy v máji minulého roka, je možné očakávať bezprostredne hroziacu vlnu tých e-mailov cieliacu aj na Slovenskú republiku.
V tejto súvislosti NCKB poskytuje tieto tri doplňujúce informácie:
- doteraz sa žiadne z bombových hrozieb tohto aktéra podľa verejne dostupných informácií nenaplnili,
- Národné bezpečnostné a analytické centrum vydalo metodiku vyhodnocovania rizika bombových hrozieb, ktorú je možné i v tomto prípade aplikovať,
- je však na zodpovednosti každej organizácie individuálne vyhodnotiť hroziace riziko a adekvátne zareagovať.
NCKB odporúča implementovať opatrenia, menované v kapitole Odporúčania.
Ransomvérové útoky
NCKB eviduje viacero ransomvérových útokov (realizovaných i vo fáze pokusu), z ktorých niektoré boli široko medializované. Vzhľadom k narastajúcej závažnosti a frekvencii týchto útokov opätovne varujeme organizácie pred hrozbou ransomvéru a žiadame o vykonanie preventívnych opatrení.
NCKB odporúča implementovať opatrenia, menované v kapitole Odporúčania.
Skenovanie zraniteľností v systémoch
Široká medializácia nedávnych kybernetických bezpečnostných incidentov spôsobila vlnu záujmu o bezpečnosť perimetra slovenských inštitúcií. Pozorujeme nárast skenovania a pokusov o prienik do verejne prístupných služieb, akými sú webové aplikácie, VPN koncentrátory, e-mail a ďalšie. NCKB už eviduje v tejto súvislosti aj niekoľko hlásení od prevádzkovateľov základných služieb, ktorí museli vykonať reaktívne opatrenia.
NCKB odporúča implementovať opatrenia, menované v kapitole Odporúčania. Národný bezpečnostný úrad už v minulosti vydal varovanie s odporúčaniami, ako takejto situácii čeliť. Pozorujeme však, že tieto odporúčania v praxi často nie sú dodržané. Apelujeme preto na prevádzkovateľov základnej služby, aby opatreniam venovali náležitú pozornosť.
Odporúčania
V súvislosti so znižovaním rizika uvedených hrozieb je potrebné, aby prevádzkovatelia základných služieb a prvky kritickej infraštruktúry bezodkladne vykonali preventívne bezpečnostné opatrenia, minimálne v nasledujúcom rozsahu:
Bombové hrozby a spear-phishingové kampane na báze e-mailov
- Pripravte sa na bombové hrozby a spear-phishingové kampane na báze e-mailov
- zvážte implementáciu opatrení z “Metodiky vyhodnocovania rizika bombových hrozieb”, ktorú vydalo Národné bezpečnostné a analytické centrum (NBAC)
- zaveďte filtrovanie e-mailov doručovaných z domén asociovaných s anonymizačnými e-mailovými službami, predovšetkým mail2tor.com, dnmx.su, onionmail.info a ďalších služieb tohto charakteru. E-maily z týchto služieb odporúčame buď úplne mazať predtým, než budú doručené koncovým používateľom, alebo ukladať pre evidenciu do samostatnej e-mailovej schránky.
- svoje e-mailové systémy zabezpečte využitím rôznych bezpečnostných metód (napríklad SPF a DKIM, antispamové filtre). Nakonfigurujte mailový server tak, aby sa škodlivé a podozrivé maily nedostali do schránok používateľov. Implementujte odporúčania z publikácie SK-CERT Ochrana pred výhražnými či podvodnými e-mailami, spamom, phishingom a malvérom.
Bezpečnosť prevádzky služieb, systémov a sietí
- zaveďte zvýšený monitoring sietí a systémov so zameraním sa na neštandardné a neočakávané aktivity, monitoring vzdialených prístupov do siete a zaťaženia sieťovej prevádzky. Odporúčame, aby takýto monitoring fungoval v režime 24/7,
- monitorujte a na pravidelnej báze kontrolujte prístup tretích strán (dodávateľov, management service providerov) a limitujte takýto prístup len na nevyhnutné minimum,
- obmedzte vzdialený prístup do vašej siete a systémov a ak sú takéto prístupy nevyhnutné, monitorujte vzdialené prístupy, obmedzte privilégiá vzdialených používateľov, vynucujte viacfaktorovú autentifikáciu a na vzdialený prístup používajte VPN,
- nesprístupňujte priamo na internete služby vzdialeného prístupu ako sú RDP, SSH, VNC, telnet a podobne,
- zakážte všetky porty a protokoly, ktoré nie sú potrebné na prevádzku sietí, systémov a služieb,
- zmapujte všetky verejné služby vašej organizácie, vystavených do internetu a následne:
- úplné vypnite nepotrebné a nepoužívané systémy
- aktualizujte zastarané systémy
- preverte účty a heslové politiky na systémoch, prístupných z internetu,
- odstráňte staré účty
- Pripravte sa na hrozbu DDoS útokov na L3/L4 úrovni a takisto aj L7 úrovni (odporúčania nižšie sú zamerané práve na ochranu proti takýmto útokom na L7) a to nasledujúcimi spôsobmi:
- využite CDN (Content Delivery Network) na prevádzku webových služieb
- majte vytvorené záložné lokality vašich systémov a služieb, resp. ich redundanciu,
- do internetu publikujte statické webové stránky, ideálne v externej hostingovej spoločnosti (redakčný systém, inštalovaný vo vnútornej sieti neprístupnej z Internetu vygeneruje HTML súbory, obrázky a štýly, ktoré sú následne prenesené na hostingovú službu)
- striktne oddeľte citlivé údaje a prevádzkovo kritické aktíva od verejných webových stránok
- odporúčame zvážiť používanie služieb na DDoS ochranu – existujú dokonca aj služby, ktoré základnú ochranu proti DDoS útokom (špecificky proti L7 vrstve) poskytujú zdarma. Typická DDoS ochrana od ISP spravidla nie je ochranou proti DDoS na L7 vrstvu. Preverte si so svojim poskytovateľom internetu, či vám takúto ochranu zabezpečuje a v akom rozsahu.
- implementujte bezpečnostnú infraštruktúru, schopnú filtrovať IP adresy útočníka vo veľkom objeme
- implementujte WAF (webový aplikačný firewall)
Riadenie bezpečnosti
- preverte účinnosť vášho zálohovacieho manažmentu, aktualizujte vaše zálohovacie procedúry s využitím pravidla 3-2-1,
- preverte a aktualizujte váš manažment prístupov, odstránťe všetky staré a nepoužívané kontá, obmedzte prístupy jednotlivých používateľov v zmysle pravidla „need to know“,
- politiku hesiel aktualizujte tak, aby zakazovala používať rovnaké heslá na rôzne služby a aby vynucovala používanie silných hesliel alebo heslových fráz. Toto opatrenie je potrebné zaviesť nie len z procesného, ale aj technického hľadiska,
- implementujte a vynucujte viacfaktorovú autentifikáciu, vrátane e-mailových služieb a VPN služieb. Odporúčame vyhnúť sa SMS overovaniu. Používajte také autentifikačné spôsoby, ktoré sú odolné voči sociálnemu inžinierstvu (napr. fyzické tokeny),
- preverte politiku aktualizácií softvéru a firmvéru a bezodkladne vykonajte aktualizáciu všetkých systémov a služieb, predovšetkým bezpečnostnými záplatami. Pre zistenie rozsahu zraniteľných systémov vykonajte skenovanie zraniteľností dostupnými nástrojmi,
- pri používaní cloudových služieb sa uistite, že spĺňajú bezpečnostné štandardy minimálne v rozsahu bezpečnosti vašich vlastných systémov – viacfaktorová autentifikácia, politika prístupov, prístup cez VPN a podobne. Cloudové služby nie je možné využívať ako úložisko kritických informačných aktív (napr. obchodné tajomstvá, osobné údaje, plány infraštruktúry, klasifikované informácie a podobne),
Riadenie incidentov
- preverte a aktualizujte procesy riadenia kybernetických bezpečnostných incidentov a uistite sa, že zamestnanci vedia, koho kontaktovať v prípade podozrenia na incident,
- pri zistení kybernetického bezpečnostného incidentu:
- bezodkladne riešte incident,
- pri riešení incidentu zaistite všetky potrebné dôkazy pre ďalšie účely (napríklad trestné konanie),
- nahláste incident Národnému centru kybernetickej bezpečnosti SK-CERT a komunikujte s SK-CERT pri riešení incidentu,
- zabezpečte dostupnosť kľúčového personálu v oblasti prevádzky a riadenia kybernetickej bezpečnosti,
- uistite sa, že vaše BCM plány a plány obnovy po havárii sú funkčné. V prípade akéhokoľvek negatívneho nálezu alebo neúspešného testu aktualizujte tieto plány tak, aby v praxi bolo možné obnoviť prevádzku v čo najkratšej dobe,
Bezpečnosť používateľov
- Poučte svojich zamestnancov o rizikách kybernetických bezpečnostných incidentov a informujte ich o zvýšenom riziku útokov. Vzdelávacie aktivity robte adresne, podľa rolí a zodpovedností jednotlivých zamestnancov:
- bežní používatelia – princípy sociálneho inžinierstva a ako sa proti nemu brániť,
- administrátori – pravidlá bezpečnej infraštruktúry
- kyberbezpečnostní špecialisti – špecializované bezpečnostné vzdelávanie
- Školenia (podľa role jednotlivých používateľov) opakujte na pravidelnej báze,
- Pravidelne vykonávajte phishingové testy a cvičenia v oblasti kybernetickej bezpečnosti (blue vs. red team, tabletop)
Odkazy
- Metodika NBAC na vyhodnocovanie rizika bombových hrozieb: https://www.sk-cert.sk/wp-content/uploads/2025/01/NBAC-metodika-hrozieb.pdf
- Metodika NCKB na ochranu pred výhražnými či podvodnými e-mailami: https://www.sk-cert.sk/sk/ochrana-pred-vyhraznymi-ci-podvodnymi-e-mailami-spamom-phishingom-a-malverom/
- Odporúčania k zálohovaniu 3-2-1: https://www.sk-cert.sk/sk/bezpecne-zalohovanie-s-pravidlom-3-2-1/
- Predchádzajúce súvisiace varovanie NBÚ: https://www.nbu.gov.sk/varovanie-pred-zvysenym-rizikom-kybernetickych-bezpecnostnych-utokov/
« Späť na zoznam