NÚKIB vydal varování před kyberútoky na ČR

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal zprávu, ve které varuje před zvýšenou hrozbou kyberútoků a špionáží.

NÚKIB tuto hrozbu z hlediska pravděpodobnosti hodnotí na úrovni „Kritická“, tedy hrozba je velmi pravděpodobná až téměř jistá.

Vojenský konflikt může poskytnout „pevnou půdu“ a pocit nepostihnutelnosti skupinám i jednotlivcům, kteří provádějí kybernetické útoky. Očekáváme tedy zvýšené množství kyberútoků i do ČR.

Kompletní zpráva NÚKIB zde.

Bezpečnostní doporučení proti kyberútokům

1) Doporučení na základě zprávy NÚKIB

Provést aktualizace informačních systémů a jejich komponent:

SoftwareZranitelnost
Fortigate VPNCVE-2018-13379
CiscoCVE-2019-1653
Oracle WebLogic ServerCVE-2019-2725
KibanaCVE-2019-7609
ZimbraCVE-2019-9670
Exim Simple Mail Transfer ProtocolCVE-2019-10149
Pulse SecureCVE-2019-11510
CitrixCVE-2019-19781
Microsoft ExchangeCVE-2020-0688
VMware One Access a Identity ManagerCVE-2020-4006
F5 Big-IPCVE-2020-5902
Oracle WebLogicCVE-2020-14882
Microsoft ExchangeCVE-2021-26855
Apache Log4jCVE-2021-44228

Zákazníky, kteří používají Sophos Firewall (který využívá součást Exim SMTP) informujeme, že zranitelnost „CVE-2019-10149“ byla již aplikována ve verzi 17.5 (v době objevení chyby) a všechny novější verze tedy nejsou chybou postiženy.

V případě zranitelností v Microsoft Exchange doporučujeme postupovat dle rad, které jsme doporučovali v dřívějším článku.

2) Zvažte blokování komunikace z Ruské federace

Tento návod Vám umožní kompletní zahození příchozí komunikace z Ruské federace.

a) Zablokování komunikace pomocí pravidla firewall (Rules and policies -> Firewall Rules -> Add firewall rule -> New firewall rule).

Blokování komunikace z Ruské federace - firewall pravidlo

b) Pravidlo firewall samo o sobě nestačí. Dále je třeba zablokovat komunikaci na aplikační služby firewallu (VPN, Uživatelský Portál, SMTP proxy atd.).

To vytvoříte kombinací zmíněného pravidla firewall (které blokuje i tuto komunikaci v případě že nastavíte DNAT pravidlo) a překladového pravidla (Rules and policies -> NAT rules -> Add NAT rule -> New NAT rule). Fake-null by měla být adresa brány Vaše poskytovatele připojení k internetu.

Blokování komunikace z Ruské federace - firewall pravidlo

c) Blokování odchozí komunikace do Ruské federace

Zatímco se na první pohled nemusí zdát důležité blokovat odchozí komunikaci do Ruské Federace, tak na základě faktu – tedy že většina malware potřebuje komunikovat s útočníkem (tzv. C&C komunikace), může tato komunikace odcházet právě do Ruské Federace, a tudíž může být žádoucí ji blokovat.

Blokaci opět provedeme pomocí pravidla firewall Rules and policies -> Firewall Rules -> Add firewall rule -> New firewall rule:

Blokování odchozí komunikace do Ruské federace - firewall pravidlo

Country blocking

Zákazníci, u kterých pravidelně provádíme audit, si mohli povšimnout, že jsme tuto část zařádili do doporučení kritických.

Doporučujeme zvážit pro všechny publikované služby do internetu, zda je opravdu chcete poskytovat celému světu.

V případě, že publikujete službu přes DNAT, lze jak v pravidle firewall, tak v překladovém pravidle specifikovat kterým zemím poskytujete přístup na Vaši službu – viz příklad DNAT pravidla.

DNAT pravidla

K překladovému pravidlu pak vytvoříte pravidlo firewall. Povšimněte si, že povolujeme v obou pravidlech nejen komunikaci z internetu, ale také z lokální sítě, což je zpravidla žádoucí. Pokud používáme v interní i veřejné sítě stejné, veřejné DNS záznamy zpravidla se jméno služby bude odkazovat na veřejnou IP adresu i pro lokální síť.

Blokování komunikace z Ruské federace - firewall pravidlo

V případě útoků typu DDoS Vám zpravidla nezbyde nic jiného než kontaktovat svého poskytovatele připojení k internetu, případně použít jiné připojení k internetu.

Upozorňujeme, že varování se nevztahují pouze na útoky probíhají z Ruské federace a ačkoliv vnímáme probíhající vojenský konflikt jako eskalační faktor kyberútoků, jedná se o globální upozornění a doporučení.

Na Sophos firewallu doporučujeme využívat verzi 18.5 MR-2, pakliže ještě využíváte starší verzi doporučujeme okamžitou aktualizaci.

Dárek pro odběratele newsletteru

Průvodce kybernetickou prevencí

Zjistěte, jak díky několika základním radám můžete zvýšit úroveň vašeho zabezpečení a ochránit data proti nejpokročilejších hrozbám.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti kyberbezpečnosti. Jako dárek dostanete e-book.