Ochrana institucí před kybernetickými útoky dle doporučení NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost vydal varování před kybernetickými hrozbami cílenými zejména na české státní instituce a nemocnice. NÚKIB tuto hrozbu hodnotí jako vysokou, tedy hrozba je pravděpodobná až velmi pravděpodobná.

Součástí varování je i dokument, který blíže popisuje hrozby s doporučeními, jak se proti nim bránit.

Aktivace phishing protection v Office 365

Office 365 nabízí pokročilou ochranu proti phishingu v rámci Office 365 Advanced Threat Protection.

V Security & Compliance portálu je možné upravit výchozí anti-phishing politiku nebo vytvořit novou. V části Threat Management – Policy zvolte Anti-phishing a upravte výchozí politiku nebo vytvořte novou.

V Users to protect zvolte uživatele, které chcete explicitně chránit proti impersonifikaci. Zde byste měli zvolit uživatele, kteří jsou pro organizaci nějakým způsobem významní a mohli by se tedy s velkou pravděpodobností stát terčem útoků pro útočníky, kteří by se za tyto uživatele vydávali. Jedná se tedy typicky o vedení organizace nebo IT oddělení – CEO, CFO, CTO, CISO apod.

V části Domains to protect povolte ochranu všech domén, které vlastníte. Volitelně můžete ochranu explicitně nastavit i pro externí domény, které jsou pro organizaci nějakým způsobem významné, například klíčoví dodavatelé nebo partneři.

V části Actions byste měli zvolit uložení do karantény pro všechny emaily, které byly detekované jako zosobnění domény nebo uživatele.

V dalším kroku povolte mailbox intelligence.

V posledním kroku můžete volitelně přidat důvěryhodné odesílatele.

Dále povolte antispoofing protection a politiku nastavte jako agresivní.

Tlačítko Report Message v Outlooku

Tlačítko Report Message umožňuje uživatelům nahlásit podezřelé zprávy, které následně administrátoři mohou analyzovat v Security & Compliance Center v části Submissions.

V Services & add-ins klikněte na Deploy add-in a v Store najděte add-in Report Message. V Assigned users vyberte Everyone a Deployment method vyberte Fixed. Zbytek průvodce jen proklikejte.

Safe Attachments pro pokročilou ochranu příloh

Safe Attachments je pokročilá ochrana příloh v Office 365 ATP. Na pozadí služby se dělá tzv. detonace, kdy přílohy v emailech se spouští a sleduje se, co přílohy dělají. Jestli se nepokouší měnit nějaké soubory, spouštět služby, zastavovat služby, připojovat se někam do internetu a stahovat další soubory, zneužívat nějaké známé chyby apod. Je to velmi účinná metoda ochrany proti zero-day zranitelnostem.

V Security & Compliance Center běžte do Threat Management – Policy a vyberte Safe attachments. V horní části zatrhněte Turn on ATP for SharePoint, OneDrive, and Microsoft Teams, abyste chránili uživatele před škodlivými soubory v cloudových službách.

Vytvořte novou politiku pro bezpečné přílohy, která bude blokovat přílohy obsahující malware a bude aplikovaná na všechny vaše domény.

Safe Links pro pokročilou ochranu odkazů

Office 365 Safe Links je služba pro pokročilou ochranu odkazů. Odkazy v emailech jsou nahrazeny proxy adresou služby, která při kliknutí na odkaz v reálném čase oskenuje cílovou stránku, jestli se na ní nenachází škodlivý kód.

V Security & Compliance Center běžte do Threat Management – Policy a zvolte Safe Links. Ve výchozí politice pro celou organizaci zatrhněte používání safe links v Office 365 aplikacích a zakažte uživatelům proklik na původní URL.

Dále vytvořte novou uživatelskou politiku pro Safe Links, kde povolte funkci Safe Links. Dále povolte integraci s Teams, povolte skenování v reálném čase a nedovolte prokliknutí uživatelů na původní URL. Politiku aplikujte na všechny domény organizace.

Pokročilá ochrana proti malware v Office 365

V rámci Security & Compliance Center jděte do Threat Management – Policy a zvolte Anti-malware. Upravte politiku tak, aby povolovala Common attachment types filter a Malware zero-hour auto purge. V Common attachment types filter ponechte výchozí typy blokovaných souborů a ověřte a případně přidejte minimálně následující – .exe, .msi, .bat, .cmd, .jar, .vbs, .ps1, .ps2.

Microsoft Defender Advanced Threat Protection

Microsoft Defender Advanced Protection je velmi pokročilý firemní bezpečnostní produkt vycházející ze zdarma dostupného Windows Defender.

Před nasazením Defender ATP je potřeba vytvořit workspace. Následně je možné začít počítače a servery onboardovat do Defender ATP. Onboarding je možný přes Intune, Group Policy, System Center Configuration Manager nebo PowerShell skript.

V rámci doporučené konfigurace ochrany je vhodné aktivovat/vynutit následující:

1. SmartScreen for Edge
2. SmartScreen for apps and files
3. Malicious site access
4. Unverified file download
5. Real-Time monitoring
6. Behavior monitoring
7. Network Inspection System
8. Cloud-delivered Protection
9. Attack Surface Reduction Rules (ASR) a blokovat následující:
   • Office apps/macros creating executable content
   • Office apps launching child processes
   • Win32 imports from Office macro code
   • Obfuscated js/vbs/ps/macro code
   • js/vbs executing payload downloaded from Internet (no exceptions)
   • Executables that don’t meet a prevalence, age, or trusted list criteria
   • Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
10. Advanced Ransomware Protection v rámci ASR
11. Network Protection
12. Tamper Protection

Povolení blokování souborů v Microsoft Defender ATP

Nejprve aktivujte Allow or block file vlastnost v Defender ATP. Jděte do Defender Security Center a následně do Settings – Advanced features. Zde aktivujte Allow or block file.

Vytvoření indikátorů pro blokující hash souborů poskytnutých od NÚKIB

NÚKIB ve svém dokumentu zveřejnil hash sedmi souborů, které je vhodné blokovat. Jedná se o tyto soubory

Výše uvedené hash přidejte do tzv. Indikátorů v Defender Security Center – Settings – Indicators. CSV, které lze přímo importovat do Indikátorů v Defender Security Center, je ke stažení zde.