Рекомендації щодо організації віддаленої роботи
У зв’язку із запровадженням більш суворих карантинних обмежень Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA буде працювати у посиленому режимі.
Просимо в разі виявлення ознак кібератак або аномальних дій у ваших інформаційних системах ТЕРМІНОВО повідомляти CERT-UA за вказаними контактами:
Email:cert@cert.gov.ua
Телефон CERT-UA: (044) 281-88-05 (044) 281-88-25
Телефон цілодобової чергової служби Державного центру кіберзахисту: (044) 281-88-01
Форма на сайтіhttps://cert.gov.ua/contact-us
Сторінка CERT-UA у Facebook:https://www.facebook.com/UACERT
1. Організація віддаленого доступу
Часто віддалена робота передбачає доступ працівників до інформаційних ресурсів організацій, які знаходяться у внутрішній мережі. Для цього використовують віртуальні приватні мережі VPN, програмне забезпечення для віддаленого доступу (AnyDesk, TeamViewer, RDP).
За період пандемії, коли багато організацій вимушені організовувати віддалену роботу, CERT-UA досліджувала велику кількість кіберінцидентів, пов’язаних з неправильною конфігурацією та організацією віддаленого доступу. Наприклад, є багато випадків, коли організації використовують RDP для доступу до серверів. При цьому паролі до таких серверів не стійкі і моніторинг або фільтрація та блокування підключень (наприклад перебору паролів) не передбачені та не налаштовані. Результатом такої організації віддалених підключень може стати повне шифрування серверів та вимагання зловмисниками коштів за розшифрування.
Іншими досить популярним прикладом того, як не слід робити, є відкриття директорій для спільного доступу без будь-якої фільтрації, як результат, доступ до таких директорій можуть отримати будь-які користувачі Інтернету. Крім того, фахівці CERT-UA часто спостерігали зберігання в таких директоріях чутливої інформації, наприклад, логіни та паролі до інформаційних систем організації.
Варто зазначити, що як тільки в Інтернеті з’являється нова загальнодоступна директорія або незахищений віддалений доступ, про це через малий проміжок часу стає відомо різного роду персонам (хакерам, спецслужбам сусідніх країн, конкурентам). Існує безліч ресурсів, які здійснюють пошук таких ресурсів в мережі Інтернет (наприклад Shodan).
Ми не рекомендуємо організовувати віддалену роботу за допомогою RDP без використання VPN з шифруванням. Якщо у Вашої організації відсутня технічна можливість організувати віддалене підключення з використанням VPN з шифруванням необхідно дотримуватись наступних правил:
- Пароль до RDP повинен бути стійким.
- Фільтруйте доступ до RDP. Визначіть ІР-адреси, з яких ваші працівники працюють віддалено. Відфільтруйте доступ до комп’ютера з RDP по віддаленим ІР-адресам ваших працівників. Доступ з усіх інших ІР-адрес забороніть. Це можливо реалізувати за допомогою Брандмауера Windows.
- Не рекомендується давати до директорій спільний доступ з мережі Інтернет. Або фільтруйте доступ або взагалі забороніть. Ваші працівники можуть отримати до неї доступ після підключення до RDP із внутрішньої мережі. Це можливо реалізувати за допомогою Брандмауера Windows.
- Журналюваннята моніторинг RDP з’єднань. Працівники, відповідальні за інформаційну безпеку, повинні періодично передивлятися журнальні файли на наявність підозрілих записів (наприклад з’єднання працівників вночі).
Рекомендованимметодом організації віддаленої роботи є використання віртуальних приватних мереж (VPN) із шифруванням.Існує велика кількість комерційних та безкоштовних рішень. Одним із найпопулярніших є OpenVPN (Рекомендуємо використовувати за умови оновлення до останньої версіїhttps://openvpn.net/download-open-vpn/).
Організація такого типу віддаленого доступу передбачає наявність серверу, до якого приєднуються клієнти(працівники) за допомогою спеціально згенерованих сертифікатів, після чого їх трафік перенаправляється до внутрішніх інформаційних систем.
При організації віддаленої роботи за допомогою VPN потрібно дотримуватись таких правил:
- Налаштувати автентифікацію на VPN-сервері за допомогою сертифікату та паролю.
- VPN-сертифікати та паролі до них повинні зберігатися в захищеному середовищі. Якщо зловмисники отримають до них доступ, вони отримають доступ до вашої мережі.
- Журналюваннята моніторинг з’єднань до VPN-серверу. Всі популярні VPN-сервіси мають функціонал журналювання подій. Працівники, відповідальні за інформаційну безпеку, повинні періодично переглядати журнальні файли на наявність підозрілих записів (наприклад з’єднання працівників вночі).
- Фільтрація доступу до VPN-серверу. Визначить ІР-адреси, з яких ваші працівники працюють віддалено. Відфільтруйте доступ до VPN-серверу по віддаленим ІР-адресам ваших працівників. Доступ з усіх інших ІР-адрес заборонити.
- Розмежування доступу працівників до внутрішніх ресурсів. Це можливо реалізувати за допомогою фаєрволів, мережевих екранів, віртуальних мереж.
- Для розгортання VPN використовуйте оновлене ліцензійне програмне забезпечення, завантажене з офіційних ресурсів.
2. Використання антивірусів на домашніх ПК
Шкідливе програмне забезпечення часто поширюється з використанням фішингу та методів соціальної інженерії, що знижує пильність користувачів. Антивірусне програмне забезпечення може захистити Ваш персональний комп’ютер від вірусів та інших видів шкідливого програмного забезпечення, а також небажаного контенту в мережі Інтернет. З огляду на це, Вам варто дотримуватися кількох порад, щоб повною мірою скористатися перевагами антивірусного програмного забезпечення.
- Увімкніть захист у реальному часі
Слід увімкнути захист у режимі реального часу. Захист у режимі реального часу - це функція багатьох типів антивірусного програмного забезпечення, що відповідає своїй назві. Він автоматично сканує дані під час завантаження та разі виявлення підозрілого змісту блокує їх.
- Сканування зовнішніх пристроїв
Скануйте зовнішні пристрої на наявність шкідливого програмного забезпечення. Багато користувачів використовують антивірусне програмне забезпечення лише для сканування фізичних дисків свого персонального комп’ютера. Радимо сканувати всі флеш-носії на наявність шкідливого програмного забезпечення.
- Оновлення бази даних
Як і все програмне забезпечення, антивірусне програмне забезпечення вимагає своєчасних оновлень. Усі типи антивірусного програмного забезпечення працюють використовуючи бази даних, які складаються з відомих загроз та їх відповідних індикаторів. В разі несвоєчасного оновлення ефективність виявлення актуальних загроз значно зменшується.
- Увімкнути журналювання
Ще однією функцією, яку слід увімкнути – це ведення журналу. Під час своєї роботи, антивірусне програмне забезпечення автоматично реєструватиме усі події, від звичайного сканування до виявлення шкідливого навантаження. Ця інформація може бути корисною при виявленні вектору зараження чи побудови схеми зараження. Журналювання може допомогти вам ідентифікувати шкідливе програмне забезпечення та їх переміщення на вашому комп’ютері.
- Використовуйте ліцензійне програмне забезпечення
Деяке антивірусне програмне забезпечення ефективніше захищають від загроз, ніж інші. Використовуйте антивірусне програмне забезпечення, що розповсюджується відомими вендорами у сфері кібербезпеки та яким ви довіряєте. Використовуйте ліцензійні рішення.
Використовуйте захист від вірусів і загроз за допомогою Windows Security
Якщо у вас не має змоги встановити антивірус на домашній комп’ютер використовуйте вбудовані в ОС Windows функції захисту Windows Security та Microsoft Security Essentials.
https://support.microsoft.com/uk-ua/windows/%D0%B7%D0%B0%D1%85%D0%B8%D1%81%D1%82-%D0%B2%D1%96%D0%B4-%D0%B2%D1%96%D1%80%D1%83%D1%81%D1%96%D0%B2-%D1%96-%D0%B7%D0%B0%D0%B3%D1%80%D0%BE%D0%B7-%D0%B7%D0%B0-%D0%B4%D0%BE%D0%BF%D0%BE%D0%BC%D0%BE%D0%B3%D0%BE%D1%8E-%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B8-%D1%83-windows-1362f4cd-d71a-b52a-0b66-c2820032b65e
https://support.microsoft.com/en-us/windows/antivirus-and-antimalware-software-faq-31f2a46e-fad6-b713-45cf-b9db579973e6
https://www.microsoft.com/uk-ua/download/details.aspx?id=5201
3. Збереження чутливих даних/паролів
Для захисту ваших даних використовуйте надійні паролі:
- Довжина паролю: чим більша довжина вашого паролю - тим важче його зламати, тому немає «ідеальної» довжини, але ми рекомендуємо використовувати довжину не менше 12 символів, що відповідає мінімальним вимогам безпеки.
- Склад паролю: використовуйте комбінації з маленьких і великих літер, чисел та спеціальних символів - це зменшить шанси на злам.
- Використовуйте парольні фрази, оскільки їх легше запам’ятати, а безпечністю вони не поступаються складним паролям.
- Не використовуйте паролі, які входять до топу найпопулярніших паролів. Ви можете знайти їх в інтернеті.
- Не використовуйте в паролях персоналізовану інформацію (номер телефону, ім’я улюбленця, адреса проживання, дата народження, тощо), оскільки вона може бути не настільки конфіденційною, як ви вважаєте.
- Використовуйте двофакторну автентифікацію, якщо це дозволяють налаштування вашого акаунту.
- Використовуйте різні паролі для доступу до різних ресурсів. Якщо зловмисник отримає доступ до одного ресурсу - він не зможе отримати доступ до інших.
- Не зберігайте свій пароль у відкритому вигляді, не пишіть його на вашому робочому столі.
- Не вводьте свій пароль у присутності сторонніх осіб.
- Не зберігайте ваші паролі в браузері.
- Через складність запам’ятовування усіх паролів - використовуйте менеджери паролів. Тоді буде необхідно запам’ятати лише один майстер-пароль.
- Регулярно змінюйте свій пароль. Коли ви змінюєте ваш пароль не використовуйте P@ssw0rd2 замість P@ssw0rd1. Придумайте новий пароль.
- За необхідності переслати пароль використовуйте шифрування (Наприклад, PGP-шифрування).
- Не повідомляйте свій пароль або іншу персональну інформацію стороннім особам (працівники веб-сервісів або банків ніколи не будуть запитувати ваш пароль).
- Здійснюйте резервне копіювання даних.
- Використовуйте VPN для доступу до інформаційних ресурсів компанії.
- Використовуйте окремі аккаунти на пристроїв для вас та ваших членів сім’ї.
- Не дозволяйте іншим членам сім’ї використовувати ваші робочі пристрої у власних цілях.
- Не передавайте інформацію відкритими каналами.
- Поясніть вашим членам сім’ї правила кібергігієни.
4. Домашні роутери
Змінити пароль адміністора.
Головна розповсюджена проблема, яку допускають користувачі, - слабкий пароль адміністратора, який дозволяє отримати доступ до налаштувань домашнього WiFi. Саме використання встановленого за замовчуванням розробниками паролю може дати зловмисникам безпосередній контроль над WiFi-роутером.Приклад паролів за замовчуванням: “1111”,”root”, ”user”, ”admin” і т.д.
Використовувати надійне шифрування
Виходячи з попереднього пункту, важливо розуміти, що в WiFi без паролю робить Вас вразливими. В такому разі необхідно встановитиWPA2 шифрування та використовувати надійний пароль.
Приховання ідентифікатору WіFi(SSID)
Так званий Broadcast SSID можна приховати в налаштуваннях роутеру. Таким чином ідентифікатор Вашої мережі не буде видно стороннім особам. Це ускладнює можливий злам зловмисниками. При цьому під час підключення Вам необхідно
буде кожен раз вводити цей ідентифікатор.
Вілключення UPnP
Сучасні роутери можуть підтримувати різні протоколи, які використовують «розумні пристрої». Таким чином Ви стаєте потенційною жертвою зловмисників. Адже в цих пристроях можуть бути активні відкриті вразливості. Якщо Ви не використовуєте дану можливість – відключіть її.
Оновлення версії вбудованого програмного забезпечення
Саме оновлення позбавляє Вас від вразливостей, що стали відомі розробнику. Завдяки оновленням розробник виправляє помилки, які дають можливість зловмиснику отримати дані з Вашої мережі, безпосередній доступ та управління.
Відключення функції WPS
Ця функція дозволяє без введення пароля, швидко підключитися до бездротової мережі тому її слід вимкнути.
5. Бережіться фішингу
Фішинг — вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційної інформації користувачів - логінів та паролей. Це досягається шляхом проведення масових розсилок електронних листів або повідомлень в соціальних мережах від імені відомих організацій, наприклад, від імені банків. Шахраї часто користуються переляками, пов’язаними зі здоров’ям, для розповсюдження шахрайства. Пандемія COVID-19 продовжує породжувати десятки таких кампаній, що лякають одержувачів та змушуютьнатискати на шкідливі посилання або вкладення в електронних листах, текстових повідомленнях або публікаціях у соціальних мережах. CERT-UA продовжує помічати активність розповсюдження шкідливого програмного забезпечення (далі – ШПЗ), саме через листи пов’язані з COVID-19.
Приклади шахрайства COVID-19:
- Сфабриковані повідомлення від організацій охорони здоров’я (наприклад, МОЗ)
- Фальшиві повідомлення від роботодавця про політику чи процедури щодо усунення ризику
- Інформація про захист себе, своїх дітей чи спільноти, що містить шкідливі посилання чи вкладення
- Благодійні звернення до жертв вірусу, які не є законними
Ознаки фішингових листів:
Адреса відправника
Адресу слід звіряти посимвольно. Повідомлення надсилається із загальнодоступного домену електронної пошти, наприклад @google.com. Найкращий спосіб перевірити доменне ім’я організації - це ввести назву компанії в пошукову систему.
Тема повідомлення
Фішинговий лист може містити в темі короткий зміст повідомлення, або назву державної установи від імені якої пише зловмисник. Також може містити навмисно зроблені помилки.
Вміст повідомлення
Зміст повідомлення часто має спонукаючий характер та вимагає дій зі сторони користувача у найкоротші строки. Часто можна сказати, чи електронне повідомлення є шахрайством, якщо воно містить поганий правопис та граматику. Легальні компанії не запитують вашу конфіденційну інформацію електронною поштою.
Вкладення
Фішингові листи містять корисне навантаження. Це буде або заражене вкладення, яке вам потрібно буде завантажити, або посилання на підроблений веб-сайт. Слід звертати увагу на розширення вкладення. Призначення цих корисних навантажень - збирати конфіденційну інформацію, таку як реєстраційні дані, дані кредитної картки, номери телефонів та номери рахунків.
Не забувайте бути обережними з вашою особистою інформацією, коли Ви користуєтесь Інтернетом, і будьте обережні, коли хтось просить Вас розголосити конфіденційні дані про Вашу особу, фінанси або дані для входу.