CSIRT ostrzega przed atakami na instytucje publiczne. Co organizacja powinna sprawdzić dziś?
Oficjalny alert CSIRT GOV zmusza do natychmiastowego działania sektor publiczny i edukację. Ostrzega on przed przestępcami, którzy rozsyłają złośliwe wiadomości na urzędowe skrzynki. Dlatego zespoły IT muszą reagować od razu, żeby uchronić serwery przed kradzieżą danych. Dowiedz się, jak to zrobić skutecznie.
Na czym polega obecny atak i kto przyjmuje pierwsze uderzenie?
Atak często zaczyna się od niewinnej wiadomości. Przestępca wykorzystuje znany trik, jakim jest podszywanie się pod kontrahenta, i od razu prosi o przygotowanie wyceny na podstawie załączonej listy zamówień. Dołącza do tego zainfekowane pliki i e-maile, w których ukrywa wirusa Agent Tesla.
Pierwsze uderzenie spada na działy pracujące z zewnętrznymi dokumentami. Najwięcej załączników otwierają sekretariaty, biura obsługi, księgowość, działy zamówień publicznych, kadry oraz administracja. Urzędnicy robią to w pośpiechu, więc łatwiej im przeoczyć podejrzany adres nadawcy.
10 działań, które natychmiast zablokują atak
W odpowiedzi na zgłoszone zagrożenie warto od razu uszczelnić system. Zacznij od wdrożenia tych technicznych blokad:
- zablokuj makra w pakiecie Office;
- sprawdź reguły filtrowania poczty;
- w przypadku starych kont natychmiast wymuś zmianę haseł;
- sprawdź, czy weryfikacja dwuetapowa (MFA) faktycznie działa na wszystkich profilach;
- przypomnij załodze o trwającej kampanii phishingowej;
- skontroluj uprawnienia administracyjne na stacjach roboczych;
- przejrzyj logi w oprogramowaniu antywirusowym;
- na wypadek awarii przetestuj przywracanie kopii zapasowych;
- odśwież wewnętrzną instrukcję zgłaszania incydentów;
- zaktualizuj systemy operacyjne na komputerach urzędników.
Dlaczego sam monitoring sieci nie jest wystarczający?
Docelowo ochrona urzędu opiera się na ciągłym cyklu: prewencja → wykrycie → zgłoszenie → reakcja.
Najpierw przeprowadź bezpieczne testy socjotechniczne, żeby sprawdzić, czy ludzie w ogóle rozpoznają fałszywą wiadomość. Następnie uruchom ciągłe monitorowanie ruchu za pomocą usługi SOC, by na bieżąco wyłapywać anomalie. Właśnie taka jest rola edukacji pracowników, testów socjotechnicznych i monitoringu. Programy wyłapują groźne pliki, a przygotowani urzędnicy blokują to, co przepuściły filtry.
Weryfikacja procedur zgłoszeń - jak powinna wyglądać?
Jeśli urzędnik nie jest odpowiednio przeszkolony, może otworzyć wirusa i nikomu o tym nie powiedzieć.. Dlatego pokaż ludziom, czym są niebezpieczne zdarzenia i gdzie należy je zgłaszać.
To może Cię zainteresować: Czym są incydenty naruszenia cyberbezpieczeństwa? Gdzie je zgłaszać?
Gdzie podejrzana wiadomość ma trafić dalej? Odbiera ją zautomatyzowana platforma do zarządzania incydentami bezpieczeństwa (SIRP). Dzięki niej administratorzy IT natychmiast widzą poukładane dane i od razu izolują zainfekowane maszyny. Przekonasz się, że to działa, gdy zespół sam zacznie regularnie przekazywać alerty o naruszeniach bezpieczeństwa.
Czy wiesz, do kogo dokładnie zadzwoni pracownik księgowości, gdy przez przypadek otworzy fałszywą listę zamówień? Zacznij od krótkiego testu odporności zespołu i sprawdź, jak wygląda ścieżka zgłoszenia podejrzanej wiadomości w Twojej organizacji.
