Din ce în ce mai mulți lucrează la distanță, folosind echipamente furnizate de angajator pentru munca oficială și conectându-i prin rețele personale. Securitatea cibernetică este o prioritate crucială pentru acești utilizatori pentru a se asigura că datele și rețelele lor rămân sigure și fără compromisuri. Aceasta include posibilitatea de a identifica indicatorii unui compromis de rețea și de a urmări potențialele atenuări. Aceste cunoștințe ajută utilizatorii să își protejeze rețelele și datele personale.
Rețelele personale sunt cele utilizate în locuințe pentru uz personal sau la distanță, cum ar fi o rețea de acasă furnizată de un furnizor de servicii de internet (ISP) rezidențial. Aceste rețele constau de obicei dintr-un router sau puncte de acces wireless care conectează dispozitive la Internet. Ei pot avea computere, dispozitive mobile, sisteme de jocuri sau o varietate de dispozitive Internet of Things (IoT) conectate la ei. La configurarea acestor rețele personale, implementarea securității adecvate de la început este crucială.1 Deși nu există nicio modalitate de a se asigura că rețelele personale vor fi complet securizate de atacuri — atacatorii sunt persistenti și continuă să găsească modalități de a evita controalele de securitate — utilizatorii pot încă luați măsuri pentru a ajuta la prevenirea viitoarelor atacuri.
Acest document oferă îndrumări utilizatorilor care au primit aprobarea pentru a lucra de acasa. Descrie potențiali indicatori de compromis și practici de atenuare care pot fi utilizate pentru a minimiza daunele dacă se crede că rețeaua este compromisă. Dacă sunt observați indicatorii de compromis, așa cum sunt subliniați în acest document, atunci urmați îndrumările pentru a atenua compromisul. Utilizatorii pot aplica acest ghid oricăror computere, dispozitive mobile sau dispozitive IoT pe care le conectează la rețelele personale. Cele mai bune practici incluse aici nu sunt menite să atenueze complet o rețea compromisă la scară largă de afaceri sau corporativă.
În cazul unui compromis suspectat, unii utilizatori ai rețelelor personale pot prefera să caute asistență de specialitate în loc să încerce ei înșiși să atenueze problema. Asistența expertului criminalistic implică, de obicei, analiza datelor volatile din dispozitivele compromise. Îndrumarea de aici include pași care implică repornirea dispozitivelor, precum și alți pași care ar putea corupe sau distruge date volatile, care sunt esențiale pentru o investigație criminalistică. Utilizatorii care caută asistență de specialitate ar trebui să ignore restul acestei lucrări și să primească îndrumări de la expert.
Datorită numărului tot mai mare de dispozitive conectate la rețelele personale, indicatorii de compromis pot apărea sub o varietate de forme. Deși recomandările se pot schimba pe măsură ce tehnologia evoluează, iar vulnerabilitățile și amenințările continuă să se dezvolte, utilizatorii ar trebui să fie întotdeauna conștienți de indicatorii de bază ai unei rețele compromise, astfel încât să poată fi luate măsuri adecvate pentru a atenua sau elimina amenințarea. Următorul tabel listează indicatorii comuni că o rețea poate fi compromisă. Tabelul nu este cuprinzător și enumeră doar câteva dintre cele mai evidente semne de compromis. De asemenea, trebuie remarcat faptul că mulți dintre acești indicatori pot fi cauzați și de probleme non-răuțioase.
Tip de Compromite | Indicatori ai Compromite | Descrierea activității suspecte |
Router Compromis | Parola routerului schimbată | Acreditările de conectare ale routerului existente care nu au fost modificate de utilizator devin ineficiente și/sau dispozitive străine sunt găsite în rețeaua personală. |
Router Compromis | Conectivitate modificată | Starea routerului/wireless arată un alt router/SSID conectat. |
Router Compromis | Redirecționări ale browserului | Utilizatorul intenționează să acceseze un anumit site și a fost redirecționat către un alt site, neintenționat. Redirecționarea site-urilor bancare în special poate duce la furturi financiare masive. Acest lucru se poate face prin malware pe dispozitiv sau în rețea. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Funcționarea dispozitivelor fără inițierea utilizatorului | Cursoarele computerului încep să se miște singure, camerele web și microfoanele se activează fără a fi activate de utilizator sau un dispozitiv se pornește de la sine. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Anti-Virus / Anti malware False | Pe ecranele dispozitivelor apar notificări înșelătoare, asemănătoare unor programe de securitate reputate. Acestea arată adesea diferit de alertele obișnuite și pot apărea în paginile web (în locurile în care se pare că nu aparțin). |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Afișări Hardware Neașteptate | Lumina/LED-ul camerei este „aprins” în mod neașteptat. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Defecte de inactivitate | Computerul „Oprit” este fierbinte/cald după perioade lungi de timp oprite. Dispozitivele mobile, în special, nu ar trebui să se încălzească în mod normal atunci când nu sunt utilizate. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Istoric modificat | Istoricul site-ului și/sau memoria cache sunt resetate (fără legătură cu resetarea manuală a utilizatorului sau resetarea programată). |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Funcționare defectuoasă a antivirusului sau anti-malware | Managerul de activități antivirus/anti-malware sau registrul nu va porni, este pus într-o stare redusă sau complet dezactivat, dar nu de către utilizator. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Supra utilizarea memoriei | Managerul de activități afișează aplicații sau servicii cu o utilizare intensă a memoriei neobișnuită. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Parametri modificați | „Timpul” ceasului este resetat sau pare diferit de ora curentă. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Operatiuni instabile | Blocări periodice ale dispozitivului. Dispozitivele se repornesc singure sau în perioadele disociate de actualizări. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | E-mailuri de phishing | E-mailuri sau mesaje trimise utilizatorului care pretind că dețin numele de utilizator, parola persoanei sau că au instalat un rootkit sau un key logger pe dispozitiv. Aceasta poate fi, de asemenea, o încercare de a compromite utilizatorul. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Software schimbat | Pictograme noi sau diferite pe ecran. Acest lucru poate fi cauzat și de actualizările software legitime. |
Programe malware (de ex Spyware, Adware, Rootkit-uri) | Reclame neasteptate | Reclamele apar aleatoriu pe ecranele dispozitivului fără ca un browser să fie deschis. |
Ransomware | Mesaje ransomware | Mesajele apar sau blochează complet dispozitivul și pot restricționa accesul la conținut până când victima plătește o taxă specificată. |
Ransomware | Fișier neașteptat Criptare | Fișierele sau folderele devin criptate aleatoriu, iar utilizatorul nu le poate deschide. |
Cont Compromis | Partajarea expunerii | Aplicațiile de colaborare sau de teleconferință arată conexiuni anterioare diferite de cele inițiate de utilizator. |
Cont Compromis | Conectare neașteptată | Multe servicii oferă notificări (de exemplu, prin e-mail sau text) atunci când dispozitive noi se conectează la un cont în serviciu. Uneori vor da opțiunea de a bloca noul dispozitiv. |
Cont Compromis | Mesaje Trimise neintenționat | Familia, prietenii sau colegii de muncă primesc mesaje sau invitații presupus de la utilizator, dar nu sunt trimise de utilizator. |
Cont Compromis | Afișări neobișnuite | Apar mesajele „Vă rugăm să actualizați sau să schimbați parola” (care pot arăta diferit de promptul normal). |
Ce trebuie să faceți dacă bănuiți că o rețea personală este compromisă Dacă acești indicatori determină un utilizator să suspecteze că rețeaua personală este compromisă, pot fi luate măsuri pentru a atenua daunele sau pentru a elimina complet amenințarea rețelei. Această secțiune recomandă pași generali pentru a răspunde la activități suspecte, precum și acțiuni mai agresive care pot fi întreprinse în funcție de gravitatea compromisului. Răspunsul la activități în general suspecte Următoarele sunt acțiuni recomandate, fără o anumită ordine, pe care utilizatorii să le întreprindă ca răspuns la unii indicatori comuni. Se recomandă ca utilizatorii să caute asistență de specialitate dacă nu au setul de abilități necesare pentru a efectua acțiunile.
Acțiunile recomandate în această secțiune sunt mai agresive: încearcă să elimine amenințarea pe un dispozitiv sau o rețea personală. Dacă este necesar, acești pași pot fi luați dacă un utilizator are cunoștințele/aptitudinile necesare, deoarece unele acțiuni pot duce la pierderea datelor sau a conectivității. Se recomandă ca utilizatorii să caute asistență de specialitate, dacă doresc
Deconectați toate dispozitivele de la rețea și resetați dispozitivele din rețea
Aceasta ar trebui să includă toate computerele, dispozitivele mobile, routerele, punctele de acces și dispozitivele IoT conectate la rețea. Odată deconectat, efectuați o resetare din fabrică pe toate dispozitivele de rețea pentru a include dispozitivele furnizate de ISP. Dacă se dorește, utilizatorii pot achiziționa routere personale sau puncte de acces care pot fi conectate la echipamentul ISP, deoarece echipamentele furnizate de ISP pot avea acreditările administrative potențial compromise. Folosind routere personale sau puncte de acces, utilizatorii pot adăuga un nivel suplimentar de securitate rețelei personale.
Efectuați o resetare din fabrică pe dispozitivele conectate anterior
Resetați din fabrică toate dispozitivele mobile, desktopurile și laptopurile. Când restaurați dispozitivele, utilizați numai suportul original al sistemului de operare pentru desktop-uri și laptop-uri și actualizați-le cât mai curând posibil. Pentru dispozitivele mobile, efectuați o resetare completă pentru a include backup/restaurare a datelor.
Schimbați imediat parolele și solicitați o nouă conectare de pe toate dispozitivele conectate
Aceasta ar trebui să includă toate parolele băncilor, e-mailului, rețelelor sociale, accesului wireless și consolei routerului de administrator. Această atenuare este crucială, deoarece atacatorii ar putea să fi obținut acreditări de utilizator în timpul compromisului. Dacă acesta este cazul, atacatorii vor avea în continuare acces la conturi, cu excepția cazului în care acreditările sunt modificate
Protejați rețelele și datele personale
Urmând măsurile de atenuare prezentate în acest document, utilizatorii ar trebui să poată eradica și/sau minimiza daunele cauzate de o rețea personală compromisă. Dacă activitatea suspectă continuă după efectuarea pașilor de atenuare, utilizatorii ar trebui să solicite sfatul unui expert pentru a ajuta la rezolvarea în continuare a compromisului sau a altei probleme.