Šalyje paskelbus karantiną, didžioji dauguma įmonių siekia užtikrinti savo darbuotojams sklandų darbą iš namų, o IT saugumo ekspertai nuogąstauja, kad pandemijos sukeltus pokyčius virtualioje erdvėje savo naudai gali išnaudoti kibernetiniai nusikaltėliai.
Neseniai bazines kibernetinio saugumo rekomendacijas dirbantiems nuotoliniu būdu paskelbė ir Nacionalinis kibernetinio saugumo centras (NKSC), o saugumo ekspertas, „Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis atkreipia dėmesį, kad ir šios rekomendacijos, ir pasaulinės hakerių bendruomenės įžvalgos dar kartą liudija, kad saugumo požiūriu efektyviausiomis išlieka „klasikinės“ priemonės – kompleksiniai slaptažodžiai, atidžiai administruojamos privilegijuotos paskyros, kelių faktorių autentifikavimas ir šifravimo sprendimai.
Prieinama turi būti tik tai, kas būtina
Karantino ir nuotolinio darbo sąlygomis šalia naujų kibernetinių grėsmių reikėtų prisiminti ir apie senesnes, kurios vis dar labai aktualios daugeliui organizacijų, pastebi Kęstutis Meškonis.
„Svarbiausios kibernetinio saugumo spragos nepavaldžios „mados vėjams“. Pavyzdžiui, dabar kaip niekada svarbu atsiminti, kad lengviausia pasiekti organizacijos jautrius duomenis pasinaudojus „žmogiškuoju“ faktoriumi. Tai gali būti ir silpni bei keliems naudotojams vienodi prisijungimo slaptažodžiai, ir per didelis teisių prieiti prie svarbių sistemų ir IT infrastruktūros suteikimas, ir suklastoti el. laiškai iš kolegų, fišingas“, – sako pašnekovas ir apibendrina, kad organizuojant darbą nuotoliniu būdu, svarbiausias principas, pabrėžiamas ir NKSC rekomendacijose – leisti naudotojams žinoti ir prieiti tik prie tų duomenų, įrenginių ir sistemų, kurios yra būtinos darbui.
„Siekiant įgyvendinti šį principą, IT specialistams pirmiausia rekomenduočiau atkreipti dėmesį į privilegijuotų paskyrų administravimą. Kaip rodo pasaulinė ir Lietuvos statistika, būtent šių paskyrų administravimas „kaip patogiau“, o ne „kaip saugiau“ kelia didžiausią grėsmę“, – akcentuoja K. Meškonis ir primena, kad privilegijuotų paskyrų „nulaužimas“ yra ne tik pats greičiausias, bet ir pigiausias kelias jautrių duomenų link. Tai patvirtina ir žymiosios hakerių bei saugumo ekspertų konferencijos „Black Hat“ metu vykdyta apklausa 2017 m., kai net 32 proc. apklaustų hakerių nurodė, kad privilegijuotos paskyros – vienas pirmųjų taikinių siekiant gauti jautrius duomenis. NKSC taip pat primena apie būtinybę riboti darbo stočių administratoriaus teises naudojant unikalius prisijungimo duomenis.
Kas yra „stiprus“ slaptažodis?
Naudotojų slaptažodžiai turi atitikti bazines saugumo taisykles – jie turi būti sudaryti iš ne mažiau kaip 8 simbolių naudojant didžiąsias ir mažąsias raides, skaičius ir specialiuosius simbolius, primenama NKSC rekomendacijose. O štai IT administratorių ir kitų IT specialistų, turinčių prieigą prie sistemų ir IT infrastruktūros slaptažodžiai turi būti sudėtingesni.
„Net pagal oficialias tvarkas reikalavimai naudotojų ir IT administratorių slaptažodžiams skiriasi. Šioje vietoje reikėtų priminti, kad IT administratoriams šie reikalavimai griežtesni – jų slaptažodžius turi sudaryti 12 simbolių, slaptažodžiai turi būti keičiami kas 60 dienų, taip pat – naudojamas kelių faktorių autentifikavimas. Tačiau reikia atsiminti, kad tokios rekomendacijos puikiai tinka, jei slaptažodis sudaromas visiškai atsitiktine tvarka (angl. random), o iš savo patirties žinome, kad realybėje taip slaptažodžiai sudaromi ypač retai, nes dauguma IT administratorių ir naudotojų slaptažodžių sudaromi remiantis žodynu ir panaudojant tam tikras modifikacijas, kurių principai įsilaužėliams gerai žinomi. Tarp IT administratorių ir IT priežiūros paslaugas dideliam skaičiui klientų teikiančių kompanijų ypač paplitusi „mada“ naudoti klaviatūros kombinacijomis paremtus slaptažodžius. Deja, jie suteikia tik netikrą saugumo jausmą, nes įsilaužėliai apie visas šias kombinacijas, kai raides pakeičiamos lengvai nuspėjamais simboliais, puikiai žino“, – perspėja „Blue Bridge“ specialistas ir apibendrina, kad vis dėlto ir naudotojams, IT specialistams rekomenduoja taikyti savo slaptažodžiams dar didesnius reikalavimus – naudotojų slaptažodžiai turi būti ne trumpesni nei 12-15 simbolių, paremti sakiniais, o IT administratorių – ne trumpesni nei 25 simboliai ir sugeneruoti atsitiktine tvarka.
„Pirmiausia, tai reiškia, kad reikėtų vengti sezoninių, naudotojo vardą, pareigas, įmonės pavadinimą atkartojančių ir kitokių lengvai atspėjamų slaptažodžių. Verta perspėti, kad įsilaužėliai visame pasaulyje tikrai bandys prieiti prie paskyrų naudodami dabartinį kontekstą atspindinčius slaptažodžius, tokius kaip „Karantinas2020“ arba pilnas koronaviruso pavadinimas. Todėl nors pagunda greitai atnaujinti svarbiausius slaptažodžius šiuo visiems lengvai įsimenamu būdu tikrai didelė, to daryti nereikėtų“, –akcentuoja pašnekovas.
Tęstines problemas, susijusias su per paprastais ir sistemų administratorių, ir paprastų naudotojų slaptažodžiais, liudija ir 2018 m. „Black Hat“ apklausos rezultatai – net 75 proc. apklaustų hakerių nurodė, kad silpni slaptažodžiai, drauge su aplikacijų ir operacinės sistemos pažeidžiamumais, pats paprasčiausias būdas prieiti prie svarbiausių organizacijos duomenų, sistemų ir IT infrastruktūros.
Laiko patikrinta apsauga: kelių faktorių autentifikavimas ir šifravimas
Tarp geriausių apsaugos priemonių, kurios prieinamos net krizės laiku – duomenų šifravimas įvairiais lygmenimis ir kelių faktorių autentifikavimas. NKSC rekomendacijose patariama įmonės duomenis apsaugoti bent jau šifruojant kietąjį kompiuterio diską, o kelių faktorių autentifikavimą naudoti prisijungimui prie svarbiausių įmonės sistemų. K. Meškonis atkreipia dėmesį, kad istoriškai šios dvi apsaugos priemonės yra laikomos sunkiausiai apeinamomis, todėl jų įgyvendinimas šiuo metu – ypač aktualus.
„Kelių faktorių autentifikavimo principas, kai jungiantis prie savo paskyros reikia suvesti ne tik slaptažodį, bet, pavyzdžiui, gauti patvirtinimo kodą per išmanųjį, turėtų galioti ginantis ir nuo socialinės inžinerijos metodų. Tai reiškia, kad jeigu gaunate netikėtą kolegos el. laišką su jautrių duomenų prašymu, būtina jo perklausti, pavyzdžiui, telefonu arba per bendradarbiavimo programą. Tikėtina, kad netrukus matysime augantį fišingo atvejų skaičių“, – pastebi saugumo ekspertas. NKSC taip pat pataria papildomai kitais kanalais perduodamais slaptažodžiais apsaugoti ir jautrią informaciją, kuri perduodama trečiosioms šalims, pavyzdžiui, debesijos paslaugų tiekėjams.
Ar įmanoma dabartinėmis sąlygomis užtikrinti kompleksinį bazinių saugumo priemonių įgyvendinimą dabartinėmis sąlygomis? Į šį klausimą K. Meškonis atsako teigiamai. „Pavyzdžiui, savo klientams ir šiuo metu sėkmingai padedame įgyvendinti kelių faktorių autentifikavimo sprendimus įvairioms sistemoms ir aplikacijoms, taip pat – įrengiame IT administratorių bei naudotojų saugios nuotolinės prieigos sprendimus (VPN) ir saugias nuotolines darbo vietas (VDI). Padedame greitai pagerinti ir slaptažodžių valdymo praktikas. Šiai užduočiai skirti specializuoti slaptažodžių ir privilegijuotos prieigos valdymo sprendimai“, – sako pašnekovas.
Bazines NKSC rekomendacijas dirbantiems nuotoliniu būdu žiūrėkite čia >>
Sustiprinkite savo IT saugumą su „Blue Bridge“ kibernetinio saugumo specialistais. Parašykite mums!