Skip links
incidente critice de securitate, incident de securitate

Recomandări esențiale pentru prevenirea cu succes a unui incident de securitate

Recomandări esențiale pentru prevenirea cu succes a unui incident de securitate

Multe companii descoperă doar în urma unui incident de securitate că au neglijat multiple aspecte legate de protecția cibernetică. Este un semnal de alarmă tras de experții Safetech Innovations, care în urma intervențiilor de analiză avansată a incidentelor critice de securitate derulate în 2023, au observat o serie de deficiențe frecvente. Pe baza acestor observații, Safetech vă propune un set de măsuri necesare pentru prevenirea incidentelor de securitate.

Informațiile din piață indică în prezent o „escaladare notabilă a atacurilor cibernetice” atât ca număr, cât și ca intensitate și consecințe (conform ENISA 2023 Threat Report). Situația reiese și din datele Panaseer 2022 Security Leaders Peer Report, care a intervievat 1.200 de responsabili cu securitatea informației, iar dintre aceștia, 82% au recunoscut că organizațiile din care fac parte au scăpat de sub control cel puțin un incident de securitate cibernetică sau au înregistrat o breșă.

După efectuarea in 2023 a aproximativ 80 de activități de consultanță de nivel avansat, ce includ coordonarea în caz de incident de securitate, analiză forensic, analiză avansată de log-uri, consultanță privind aplicarea de security best practices, experții Safetech implicați în livrarea acestor servicii au sintetizat câteva concluzii pe care vi le prezentăm în cele ce urmează.

Radiografia unui incident de securitate

Safetech a efectuat în 2023 intervenții de analiză avansată pentru incidente de securitate cibernetică  pentru clienți din domeniile servicii financiare, producție, horeca și media. În majoritatea situațiilor, investigațiile derulate au avut loc post-atac, obiectivul colaborării fiind identificarea vectorului de atac, a tacticilor, tehnicilor și procedurilor (TTP) utilizate și a sistemelor afectate, precum și transmiterea de recomandări pentru remedierea rapidă a posturii de securitate a beneficiarului.

În funcție de dimensiunea rețelelor afectate, de vizibilitatea obținută asupra sistemelor IT și numărului de artefacte colectate, investigațiile au durat între 1 și 5 zile. În toate situațiile, în cel mult șase ore de la începerea investigațiilor experții Safetech au comunicat primele concluzii post incident de securitate și un set de recomandări inițiale.

O altă concluzie este că investigarea unui incident de securitate depinde mult de vizibilitatea asupra sistemului și datele colectate. Acolo unde toate log-urile au fost criptate în urma unui atac ransomware finalizat cu succes, identificarea tehnicilor și pașilor parcurși de hacker a fost dificilă sau uneori imposibilă.

De asemenea, în cazul clienților care nu dispuneau de soluții avansate de securitate, experții Safetech au instalat rapid propriile unelte pentru investigarea sistemelor compromise, însă acest proces cere timp și nu oferă întotdeauna datele necesare.

Care au fost principalele cauze?

În analiza incidentelor critice, echipa Safetech a avut în vedere componentele principale necesare pentru asigurarea securității: oameni, procese și tehnologii. De cele mai multe ori a existat un cumul de factori care a permis transformarea unei încercări de atac într-o breșă reală de securitate cu consecințe severe. În cazurile investigate de Safetech în 2023, cauzele frecvente au fost:

  • Educația deficitară a utilizatorilor în ceea ce privește igiena cibernetică,
  • Aplicarea inadecvată a patch-urilor de securitate,
  • Inexistența unor proceduri temeinice de ”hardening” pentru reducerea vulnerabilităților la nivel de infrastructură IT, sisteme și aplicații, incluzând, în particular, securizarea insuficientă a accesului extern și a aplicațiilor,
  • Lipsa unor tehnologii/unelte de securitate informatică,
  • Absența unor specialiști care să monitorizeze permanent securitatea IT și să investigheze alertele apărute.

Prin acest cumul de aspecte negative, organizațiile analizate nu au reușit să blocheze potențialii vectori de atac și, astfel, au oferit hackerilor posibilitatea de a finaliza atacuri cibernetice, cu consecinte severe de natură legală, economică și asupra reputației clientului.

Recomandări pentru prevenirea incidentelor

După efectuarea serviciilor de analiză avansată pentru incidente critice de securitate, experții Safetech vă recomandă un set de măsuri necesare pentru blocarea încercărilor de atac cibernetic și prevenirea incidentelor de securitate:

  1. Implementarea unui proces de monitorizare a securității cibernetice 24/7, care să trateze acești trei piloni principali: oameni, procese și tehnologii. Derularea acestui proces necesită o echipă specializată de monitorizare continuă a vulnerabilităților și amenințărilor de securitate, capabilă să identifice amenintările și să răspundă rapid la orice incident de securitate.
  2. Utilizarea unor soluții moderne precum: IDS/IPS (Intrusion Detection/Prevention System), SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) sau NDR (Network Detection and Response) sau XDR (Extended Detection and Response), care să ofere vizibilitate și posibilitatea rapidă de răspuns la incidente atât la nivelul traficului existent în cadrul rețelei, cât și la nivelul sistemelor IT. De asemenea, recomandăm instalarea unei soluții de securitate perimetrală capabilă să analizeze fișiere în tranzit (email și download), precum și capabilități de inspectare a traficului HTTPS, în vederea detectării malware-ului ATP/zero-day prin detonarea fișierelor în sandbox, local sau cloud.
  3. Implementarea unui program periodic de backup pentru datele critice din organizație. Pentru că tendința actuală este ca hackerii să vizeze inclusiv backup-ul, este esențial ca datele de backup să fie offline și criptate.
  4. Derularea unor programe periodice de conștientizare a angajaților asupra potențialelor amenințări cibernetice, precum și a unor acțiuni de testare a posturii de securitate.
  5. Update-uri la zi cu ultimele patch-uri de securitate pentru toate sistemele utilizate în cadrul organizației.
  6. Managementul avansat al parolelor și respectarea strictă a normelor de bază privind securitatea parolelor. Securizarea sistematică a accesului în rețea, la date și la aplicații.
  7. Adoptarea autentificării cu factor multiplu (Multi Factor Authentication – MFA) pentru toate serviciile, în special webmail, VPN și pentru conturile care accesează sisteme critice.
  8. Aplicarea principiului celui mai mic privilegiu tuturor sistemelor și serviciilor, astfel încât utilizatorii să aibă acces doar la resursele de care au nevoie pentru a-și îndeplini sarcinile.
  9. Segmentarea rețelei pentru limitarea mișcărilor laterale în cazul unui incident de securitate și implicit impactului oricărei intruziuni.
  10. Colectarea și stocarea în siguranță a log-urilor pentru dispozitivele din rețea și implementarea unui sistem de management al log-urilor.
incident de securitate, security incident

De ce să colaborați cu Safetech în cazul unor incidente de securitate cibernetică

La baza serviciului Safetech de analiză avansată pentru incidente critice de securitate se află experții Safetech, analiști și consultanți din cadrul Computer Emergency Response Team (STI CERT), echipă operațională încă din 2015, care în prezent investighează, cu acoperire 24/7, o medie de 12.000 de alerte de securitate pe lună și identifică și tratează circa 150 de incidente de securitate pe lună.

Echipa de analiză avansată de incidente de securitate (Level 3) are în componență, pe lângă o serie vastă de instrumente și proceduri care ușurează analiza incidentelor critice, consultanți cu experiență solidă în domeniul securității cibernetice, care pot identifica rapid breșele de securitate și comunica prompt cu departamentele implicate în procesul de analiză și remediere, pentru o rezolvare rapidă și eficientă a problemei. De asemenea, analiștii din STI CERT dețin multiple certificări personale, obținute prin (ISC)², ISACA și EC-Council.

Portofoliul de servicii și de soluții tehnice al Safetech acoperă toate cele zece măsuri de mai sus pentru prevenirea incidentelor critice. Dacă intenționați să vă îmbunătățiți postura de securitate în oricare din aceste direcții, vă stăm la dispozitie cu informații tehnice și comerciale, precum și cu efectuarea de demonstrații sau de teste pilot.

Vă invităm să urmariți pagina Safetech din Linkedin, https://www.linkedin.com/company/safetech-innovations/, unde vom anunța continuarea acestui articol cu prezentări detaliate ale recomandărilor noastre de prevenirea incidentelor de securitate prin testarea și validarea recurentă a sistemelor de securitate si prin instruirea personalului angajat cu privire la securitatea cibernetică.