Незважаючи на те, що кіберзлочинці та хакери використовують все більш витончені методи атак для проникнення в корпоративні мережі, порушення безпеки часто є результатом неправильних конфігурацій, яких можна уникнути, але часто не помічають.
Щоб не відкривати хакерам двері до конфіденційних даних та ІТ-середовища, нижче наведено п’ять найпоширеніших помилок конфігурації, яких компаніям слід уникати.
1. Облікові дані за замовчуванням
Неналаштовані за замовчуванням імена користувачів і паролі пристрою, бази даних і інсталяції — це все одно, що залишити ключ у замкнених дверях. Навіть хакери-любителі можуть використовувати вільно доступні інструменти, щоб завдати значної шкоди компанії. Стандартні облікові дані на мережевих пристроях, таких як брандмауери, маршрутизатори або навіть операційні системи, дозволяють зловмисникам використовувати прості сканери для перевірки паролів, щоб отримати прямий доступ. Для більш витончених атак хакери запускають серію атак за сценарієм, щоб грубою силою проникнути в пристрої, зосереджуючись або на стандартних іменах користувачів і паролях, або на простих паролях, таких як «qwerty» або «12345».
2. Багаторазове використання паролів
Використання одного облікового запису користувача та пароля на кожному пристрої в групі кінцевих точок дає кіберзлочинцям можливість атакувати будь-яку машину, навіть якщо зламано лише один із пристроїв. Звідти зловмисники можуть використовувати дампери облікових даних, щоб отримати паролі або навіть самі хеші. Тому компаніям слід за будь-яку ціну уникати повторного використання паролів і деактивувати непотрібні облікові записи.
3. Відкрийте служби віддаленого робочого стола та стандартні порти
Такі служби, як протокол віддаленого робочого стола (RDP), власний протокол, розроблений Microsoft, надають адміністраторам інтерфейс для віддаленого керування комп’ютерами. Дедалі частіше кіберзлочинці зловживають цим відкритим протоколом, якщо він неправильно налаштований. Наприклад, такі програми-вимагачі, як CrySiS і SamSam, можуть націлюватися на організації через відкриті порти RDP як за допомогою грубої сили, так і за допомогою словникових атак. Тому будь-який зовнішній пристрій, підключений до Інтернету, повинен бути захищений рівнем захисту для боротьби зі спробами вторгнення, такими як атака грубою силою. Адміністратори повинні використовувати комбінацію надійних, складних паролів, брандмауерів і списків контролю доступу, щоб зменшити ймовірність порушення безпеки.
4. Відкладене оновлення програмного забезпечення
Загрози нульового дня часто потрапляють у газетні заголовки, але найпоширенішими вразливими місцями, якими користуються кіберзлочинці, є цифрові скам’янілості. Тому оновлення операційних систем і виправлень має вирішальне значення для запобігання порушення безпеки. У той час як численні експлойти та вразливості виявляються щодня, і це може бути важко встигати, організаціям слід уникати затримки програмного забезпечення.
5. Вимкнено журналювання
Вимкнене журналювання не обов’язково дозволяє зловмисникам зламати систему, але це дозволяє їм діяти там непоміченими. Потрапивши всередину, хакери можуть переміщатися по мережі в пошуках даних або активів для контрабанди. Без відповідної рубки вони не залишають слідів. Це створює голку в стозі сіна для ІТ-команд під час реконструкції інциденту безпеки. Таким чином, журналювання слід увімкнути та надіслати в центральне розташування, наприклад на платформу безпеки інформації та керування подіями (SIEM). Ці дані надають докази, необхідні судово-медичним аналітикам під час розслідування реагування на інцидент, щоб зрозуміти атаку та зафіксувати вторгнення. Крім того, це допомагає адекватно реагувати на загрози, які викликають попередження на основі вже зареєстрованих подій.
Неправильна конфігурація та залишення пристроїв або платформ у стані за замовчуванням полегшують кіберзлочинцям здійснення атак. Тому компанії повинні впроваджувати вищевказані заходи безпеки, щоб захистити себе та свої конфіденційні дані.
Дізнайтесь більше на DigitalGuardian.com[starboxid=6]