A Nemzeti Kibervédelmi Intézet tájékoztatót ad ki Információszerzésre irányuló fokozott kibertevékenységgel kapcsolatban.
2018. április 16-án a US-CERT, az amerikai Belbiztonsági Minisztérium (DHS) és Szövetségi Nyomozó Iroda (FBI), valamint az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) által végzett közös kutatásának eredményét tartalmazó technikai riasztást tett közzé
[1]. A kutatás tárgya, a feltételezhetően Orosz támogatottságú szervezetek érzékeny információk megszerzésére irányuló tevékenységének technikai ismertetése. Az információszerzés célpontjai leginkább a kormányzati szervezetek, a kritikus infrastruktúrák és az internet szolgáltatók.
A támadások során jellemzően az alábbi engedélyezett eszközök jelenlétét vizsgálják a támadók, amelyeken keresztül végrehajthatnak támadásokat:
- Generic Routing Encapsulation (GRE)
- Cisco Smart Install (SMI)
- Simple Network Management Protocol (SNMP)
A technikai riasztásban javasolt általános intézkedések:
- Kerülendő a titkosítatlan kommunikációs protokollok (pl. Telnet, SMI [2], SNMPv1, v2c) internet irányából történő engedélyezése. Helyettük a HTTPS, SSH, SNMPv3 vagy TLS protokollok használata ajánlott. Amennyiben mégis szükséges, úgy alkalmazzunk titkosított VPN (Virtual Private Network) kapcsolatot a belső hálózatok és a menedzselhető hálózati eszközök internet felöli eléréséhez.
- Blokkoljuk a TFTP protokollt az internet irányába, hogy a belső hálózatról ne lehessen elérni távoli kiszolgálókat (hosts).
- Folyamatosan figyelemmel kell kísérni a használt hálózati eszközökre kiadott legújabb frissítéseket, és amennyiben kompatibilis a kialakított rendszerekkel telepítsük őket.
- A gyári azonosítók helyett javallott erős jelszó házirendek alkalmazásával egyedi jelszavakat használni minden eszköznél. Továbbá, ott ahol lehet, használjuk a kétfaktoros azonosítást.
Hivatkozások: