CYDEX 17 – primul exerciţiu cibernetic din România
Abia după consemnarea ravagiilor făcute zilele trecute de către „I wanna cry, I wanna cript” (un atac bazat pe o nouă variantă de ransomware denumită „WannaCry”) Centrul Naţional de Cyberint a organizat pentru prima dată în ţara noastră o simulare virtuală a unui atac cibernetic, numită CYDEX 17, pentru a depista care sunt punctele vulnerabile ale instituţiilor în ceea ce priveşte siguranţa cibernetică.
„În premieră, în România, se întâmplă primul exerciţiu cibernetic, se numeşte CYDEX 17. Sunt 60 de participanţi, 30 dintre ei sunt jucători, 30 sunt observatori. Poligonul cibernetic a fost creat şi confiurat de specialişti ai Centrului Naţional Cybering. Începând cu ora 10, aceştia se confruntă cu acest incident cibernetic virtual. Profităm de acest atac şi combinăm măsurile pe care le iau cu măsurile atacului din viaţa reală. Vrem să evaluăm nivelul instituţiilor publice şi private în ceea ce priveşte securitatea cibernetică. Îi obligăm să lucreză în echipă, să schimbe informaţii înte ei în timp real, să ia măsuri la nivel operaţional, tactic şi strategic . Ne interesează cooperarea între instituţiile publice cu atribuţii în domeniul apărării cibernetice, cooperarea între instituţiile publice şi cele private”, a firmat Şeful Centrului Naţional de Cyberint, Anton Rog. sursa zf.ro
Despre cum comunică instituțiile românești între ele și împreună în folosul nostru știm cu toții. Dincolo de toate discuțiile despre cine se află în spatele ultimului atac ransomware – considerat de către experți cel mai puternic atac de acest gen, hai să vedem și partea bună a lucrurilor. Pagube înregistrate minime. Educație de securitate online pe toate canalele – a cam sosit vremea să învățăm și noi că nu tot ce ajunge în inbox merită și click. Promovare avantaje utilizare softuri cu licență actualizate la minut – am observat că unele firme au înțeles cât de important este băiatul de la it angajat pe bune. Si, ce mi se pare mie cel mai important, s-au trezit la realitate și câteva persoane plătite din banii noștri ca să ne protejeze.
Ce e pe alte meleaguri treaba lor. Cel puțin atât timp cât mai am ci de România. Chiar dacă granițele în mediul online sunt precum linia trasată cu cretă ieri pe trotuar de fiica mea. Deci, pe la noi, e cam așa.
In urmă cu câteva luni CERT-RO ne informa că:
Potrivit raportului anual al Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), în anul 2016 au fost colectate și procesate 110.194.980 alerte de securitate cibernetică (în creștere cu 61.55% față de anul 2015), care au afectat un număr de 2.920.407 adrese IP unice.
Ce au făcut ceilalți colegi de instituții? Secret, nesecret, faza e că abia ieri a fost organizată pentru prima dată în ţara noastră o simulare virtuală a unui atac cibernetic. Bine că s-au trezit abia acum. Apropo, dacă tot v-ați trezit poate aruncați o privire și pe grupurile online unde se discută destul de serios despre un alt pericol care bate la port-uri chiar dacă nu este definit juridic și jurisprudențial. Sau așteptați primul atac mai serios? Intreb și eu!
Până se dezmeticesc mai bine vă recomand să vă luați singuri câteva măsuri de prevenire. Astea nu sunt secrete. Au fost făcute publice inclusiv în România încă de anul trecut.
GHID privind combaterea amenințărilor informatice de tip „ransomware”
CERT-RO ne-a recomandat încă de anul trecut să implementăm următoarele 10 măsuri de prevenire a infecțiilor cu diferite forme de malware, în special ransomware (sursa cert.ro):
1. Fiți precauți
Această recomandare este general valabilă pentru a spori securitatea sistemelor informatice pe care le utilizați/administrați. Este deja bine-cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă din lanțul ce formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). În consecință, vă recomandăm să nu accesați link-urile sau atașamentele conținute de mesajele email suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. De asemenea, o atenție sporită trebuie acordată site-urilor web pe care le accesați și surselor online pe care le utilizați pentru descărcarea sau actualizarea aplicațiilor.
2. Faceți copii de siguranță (backup) ale datelor
Cea mai eficientă metodă pentru combaterea amenințării ransomware este realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dacă accesul la date este blocat de către un ransomware, datele dumneavoastră vor putea fi restaurate rapid, iar daunele provocate vor fi minime. IMPORTANT! Pentru backup utilizați un mediu de stocare extern care nu este conectat în permanență la sistem, altfel existând riscul ca, în cazul infectării cu ransomware, să fie criptate și fișierele de pe respectivul mediu de stocare.
3. Activați opțiunile de tip „System Restore”
În cazul sistemelor de operare Windows, vă recomandăm activarea opțiunii „System Restore” pentru toate partițiile de stocare. În cazul infectării sau cu malware sau compromiterii unor fișiere (chiar și fișiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioară. ATENȚIE! Nu vă bazați exclusiv pe această facilitate deoarece unele versiuni recente de ransomware șterg datele din „System Restore”.
4. Implementați mecanisme de tip „Application Whitelisting”
„Application Whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai software autorizat/cunoscut. Conceptul în sine nu este nou, reprezentând practic o extindere a abordării „default deny” (nu permite în mod implicit) utilizată de mult timp de soluțiile de securitate de tip firewall. În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a amenințării malware și există deja o varietate de soluții tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conținute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy).
5. Dezactivați execuția programelor din directoare precum %AppData% și %Temp%
O soluție alternativă la mecanismul de tip „Application Whitelisting” (nu la fel de eficientă, însă care aduce un spor semnificativ de securitate) este blocarea execuției programelor din directoare ca %AppData% și %Temp%, prin intermediul politicii de securitate (GPO – Group Policy Object) sau utilizând o soluție de tip IPS (Intrusion Prevention Software).
6. Afișați extensiile fișierelor
Unele tipuri de ransomware, precum Cryptolocker, sunt livrate sub forma unor fișiere cu extensie cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia „.exe”, caracteristică fișierelor executabile, rezultând extensii de forma „.docx.exe”, „.txt.exe” etc. Astfel, afișarea extensiilor fișierelor poate facilita observarea fișierelor suspicioase/malițioase. Este recomandat să nu rulați niciodată fișiere executabile venite prin email.
7. Actualizați în permanență sistemele de operare și aplicațiile
Actualizarea aplicațiilor/programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui nivel de securitate ridicat al sistemul informatic. De cele mai multe ori, un software neactualizat este echivalentul unei uși deschise (backdoor) pentru infractorii din mediul cibernetic. În general producătorii de software, precum Microsoft și Adobe, publică în mod regulat actualizări (update-uri) pentru sistemele de operare și aplicații, utilizatorul având posibilitatea să configureze descărcarea și instalarea automată a acestora. Astfel, vă recomandăm să activați opțiunea pentru actualizări automate acolo unde este posibil și să aveți în vedere modalitatea cea mai eficientă pentru actualizarea celorlalte programe (verificarea periodică a versiunilor pe site-ul producătorilor). ATENȚIE! Deseori, programele malițioase au fost livrate sub forma unui update de software. Verificați cu atenție sursele utilizate pt. descărcarea/actualizarea de software.
8. Utilizați soluții de securitate eficiente și actualizate
O măsură absolut necesară pentru prevenirea infecțiilor cu diferite tipuri de malware o reprezintă utilizarea uneia sau mai multor soluții software de securitate eficiente și actualizate care să dispună de facilități/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc.
9. Utilizați instrumente software pentru monitorizarea fișierelor
Utilizarea de instrumente software pentru monitorizarea fișierelor (accesare, modificare, ștergere etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau rețelei.
10. Manifestați atenție sporită la accesarea reclamelor web
Unele dintre versiunile de ransomware investigate de CERT-RO în ultimul timp au fost livrate prin intermediul unor reclame malițioase (malvertising) afișate pe site-uri web populare (știri, magazine online etc.). Vă recomandăm să evitați pe cât posibil accesarea reclamelor și chiar utilizarea unor instrumente software (de tip „add block”) care să blocheze automat încărcarea/afișarea reclamelor.