Miért szükséges rendszeres védelmi audit?
A kiberbiztonság területén az egyik legveszélyesebb hiba az, ha a szervezet azt hiszi, hogy megfelelően védett, anélkül hogy ezt valóban validálta volna. A zsarolóvírus-védelmi audit célja, hogy tényeken alapuló képet adjon a jelenlegi felkészültségről, azonosítsa a hiányosságokat és prioritásokat állítson fel a javításhoz. Ez nem csupán a nagyvállalatoknak releváns – a kis- és középvállalkozások is egyre inkább célpontjai a ransomware-csoportoknak.
Az audit keretrendszere: mit vizsgáljunk?
A ransomware-védelmi audit három fő területet ölel fel:
- Megelőzés: Milyen technikai és szervezeti intézkedések akadályozzák meg a fertőzés bekövetkezését?
- Detektálás: Milyen gyorsan ismerjük fel, ha egy rendszeren ransomware fut?
- Helyreállítás: Mennyi idő alatt és milyen adatvesztéssel tudunk felépülni egy sikeres támadásból?
Megelőzési ellenőrzési lista
A megelőzési réteg ellenőrzésekor az alábbi kérdéseket kell megválaszolni:
- Rendelkezik-e a szervezet naprakész EDR (Endpoint Detection and Response) megoldással minden végponton?
- Alkalmaznak-e többfaktoros hitelesítést (MFA) minden kritikus rendszerhez és VPN-hozzáféréshez?
- A jogosultságok követik-e a minimális jogosultság elvét (Principle of Least Privilege)?
- Rendszeres-e a phishing szimulációs tréning, és mérik-e annak eredményességét?
- Az RDP-hozzáférés tiltott-e a nyilvános internetről, és csak VPN-en keresztül érhető el?
Biztonsági mentési rendszer ellenőrzése
A biztonsági mentési rendszer auditja talán a legkritikusabb elem. Fontos kérdések:
- Tesztelték-e az utóbbi 3 hónapban a mentésből való visszaállítást?
- Rendelkeznek-e immutable (módosíthatatlan) biztonsági mentéssel?
- A biztonsági mentési rendszer hálózatilag szegmentált-e a primér infrastruktúrától?
- Az RTO (Recovery Time Objective) és RPO (Recovery Point Objective) reálisan meg van-e határozva és tesztelve?
Incidenskezelési terv validálása
Az incidenskezelési terv megléte csak az első lépés – a terv értéke attól függ, hogy a szervezet tagjai ismerik és képesek alkalmazni. Évente legalább egyszer érdemes tabletop gyakorlatot tartani, amely szimulál egy ransomware eseményt, és mérhetővé teszi, hogy a terv valóban működik-e a nyomás alatt.
Audit eredmény és prioritálás
Az audit eredményét érdemes kockázati mátrixban megjeleníteni: az x tengely a valószínűséget, az y tengely az üzleti hatást mutatja. Az első sorban azokat a hiányosságokat kell kezelni, amelyek egyszerre valószínűek és nagy hatásúak – ezek jellemzően a MFA hiánya, az elavult EDR vagy a nem tesztelt mentési rendszer.