Nädalateema käsitleb andmeturbe teemat IT-maailmas ning ülesandeks on üht turvariski analüüsida ja pakkuda sellele maandamise võimalusi, lähtudes Mitnicki valemi kolmest komponendist - tehnoloogiast, koolitusest ja reeglitest. Kuna puutusin hiljuti tööalaselt kokku lunavaraga, kirjutan sellest.
Kliendi failiserver oli lunavara rünnakuga pihta saanud, kõik olulised failid serveris olid muutunud .wallet-laiendiga krüptopudruks ning vigases inglise keeles nõuti raha (BitCoine), et need lahti krüpteerida. Sai analüüsitud, kuidas rünne edukaks oli osutunud, ning selgus, et botnet oli juba vähemalt kuu aja jagu teinud dictionary-attack'i asutuse välise IP pihta, mille RDP port oli "maailmale valla" ning vaikimisi numbriga (3389). Jagu saadi ühe domeeniadmini õigusi omava kasutaja paroolist, mis oli tõepoolest nõrk.
Tehnoloogiliselt saab öelda, et toosama default RDP-pordi kasutamine oli nõrk koht. Soovitasime aga kliendil üldse üle minna VPN'i peale kaugligipääsu kasutamiseks ja RDP-st loobuda. Veel võib tehnoloogiliselt pidada puudulikuks MS serveri monitooringu puudulikkust - st administraator võiks saada süsteemilt selle kohta teavitusi, kui päevas sadu kordi autentimispäringud feilivad. Koolitada tuli taaskord kasutajaid ja rääkida neile tugevate paroolide kasutamise olulisusest, samuti sellest, et lunavara-pahalased levivad ka e-kirjade manustena ning manuste avamisel tuleb alati olla tähelepanelik. Seeläbi jõutigi uute reegliteni - kaugelt saab võrgule ligi vaid üle VPN-i ning kasutajate haldus käib ühe kohaliku süsteemiadministraatori autoriseeringul. Ja veel üks kord - "Welcome123" ei ole pädev parool!
No comments:
Post a Comment