Indicatori și atenuări ale rețelei personale compromise

Indicatori și atenuări ale rețelei personale compromise

Din ce în ce mai mulți lucrează la distanță, folosind echipamente furnizate de angajator pentru munca oficială și conectându-i prin rețele personale. Securitatea cibernetică este o prioritate crucială pentru acești utilizatori pentru a se asigura că datele și rețelele lor rămân sigure și fără compromisuri. Aceasta include posibilitatea de a identifica indicatorii unui compromis de rețea și de a urmări potențialele atenuări. Aceste cunoștințe ajută utilizatorii să își protejeze rețelele și datele personale.

Rețelele personale sunt cele utilizate în locuințe pentru uz personal sau la distanță, cum ar fi o rețea de acasă furnizată de un furnizor de servicii de internet (ISP) rezidențial. Aceste rețele constau de obicei dintr-un router sau puncte de acces wireless care conectează dispozitive la Internet. Ei pot avea computere, dispozitive mobile, sisteme de jocuri sau o varietate de dispozitive Internet of Things (IoT) conectate la ei. La configurarea acestor rețele personale, implementarea securității adecvate de la început este crucială.1 Deși nu există nicio modalitate de a se asigura că rețelele personale vor fi complet securizate de atacuri — atacatorii sunt persistenti și continuă să găsească modalități de a evita controalele de securitate — utilizatorii pot încă luați măsuri pentru a ajuta la prevenirea viitoarelor atacuri.

Acest document oferă îndrumări utilizatorilor care au primit aprobarea pentru a lucra de acasa. Descrie potențiali indicatori de compromis și practici de atenuare care pot fi utilizate pentru a minimiza daunele dacă se crede că rețeaua este compromisă. Dacă sunt observați indicatorii de compromis, așa cum sunt subliniați în acest document, atunci urmați îndrumările pentru a atenua compromisul. Utilizatorii pot aplica acest ghid oricăror computere, dispozitive mobile sau dispozitive IoT pe care le conectează la rețelele personale. Cele mai bune practici incluse aici nu sunt menite să atenueze complet o rețea compromisă la scară largă de afaceri sau corporativă.

În cazul unui compromis suspectat, unii utilizatori ai rețelelor personale pot prefera să caute asistență de specialitate în loc să încerce ei înșiși să atenueze problema. Asistența expertului criminalistic implică, de obicei, analiza datelor volatile din dispozitivele compromise. Îndrumarea de aici include pași care implică repornirea dispozitivelor, precum și alți pași care ar putea corupe sau distruge date volatile, care sunt esențiale pentru o investigație criminalistică. Utilizatorii care caută asistență de specialitate ar trebui să ignore restul acestei lucrări și să primească îndrumări de la expert.

Indicatori ai compromiterii unei rețele personale


Datorită numărului tot mai mare de dispozitive conectate la rețelele personale, indicatorii de compromis pot apărea sub o varietate de forme. Deși recomandările se pot schimba pe măsură ce tehnologia evoluează, iar vulnerabilitățile și amenințările continuă să se dezvolte, utilizatorii ar trebui să fie întotdeauna conștienți de indicatorii de bază ai unei rețele compromise, astfel încât să poată fi luate măsuri adecvate pentru a atenua sau elimina amenințarea. Următorul tabel listează indicatorii comuni că o rețea poate fi compromisă. Tabelul nu este cuprinzător și enumeră doar câteva dintre cele mai evidente semne de compromis. De asemenea, trebuie remarcat faptul că mulți dintre acești indicatori pot fi cauzați și de probleme non-răuțioase.

Tip de Compromite
Indicatori ai Compromite
Descrierea activității suspecte
Router CompromisParola routerului schimbatăAcreditările de conectare ale routerului existente care nu au fost modificate de utilizator devin ineficiente și/sau dispozitive străine sunt găsite în rețeaua personală.
Router CompromisConectivitate modificatăStarea routerului/wireless arată un alt router/SSID conectat.
Router CompromisRedirecționări ale browseruluiUtilizatorul intenționează să acceseze un anumit site și a fost redirecționat către un
alt site, neintenționat. Redirecționarea site-urilor bancare în special poate duce la furturi financiare masive. Acest lucru se poate face prin malware pe dispozitiv sau în rețea.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Funcționarea dispozitivelor fără inițierea utilizatorului
Cursoarele computerului încep să se miște singure, camerele web și microfoanele se activează fără a fi activate de utilizator sau un dispozitiv se pornește de la sine.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Anti-Virus / Anti malware FalsePe ecranele dispozitivelor apar notificări înșelătoare, asemănătoare unor programe de securitate reputate. Acestea arată adesea diferit de alertele obișnuite și pot apărea în paginile web (în locurile în care se pare că nu aparțin).
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Afișări Hardware NeașteptateLumina/LED-ul camerei este „aprins” în mod neașteptat.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Defecte de inactivitateComputerul „Oprit” este fierbinte/cald după perioade lungi de timp oprite. Dispozitivele mobile, în special, nu ar trebui să se încălzească în mod normal atunci când nu sunt utilizate.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Istoric modificatIstoricul site-ului și/sau memoria cache sunt resetate (fără legătură cu resetarea manuală a utilizatorului sau resetarea programată).
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Funcționare defectuoasă a antivirusului sau anti-malware
Managerul de activități antivirus/anti-malware sau registrul nu va porni, este pus într-o stare redusă sau complet dezactivat, dar nu de către utilizator.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Supra utilizarea memoriei Managerul de activități afișează aplicații sau servicii cu o utilizare intensă a memoriei neobișnuită.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Parametri modificați
„Timpul” ceasului este resetat sau pare diferit de ora curentă.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Operatiuni instabileBlocări periodice ale dispozitivului. Dispozitivele se repornesc singure sau în perioadele disociate de actualizări.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
E-mailuri de phishingE-mailuri sau mesaje trimise utilizatorului care pretind că dețin numele de utilizator, parola
persoanei sau că au instalat un rootkit sau un key logger pe dispozitiv. Aceasta poate fi, de asemenea, o încercare de a compromite utilizatorul.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)

Software schimbat

Pictograme noi sau diferite pe ecran. Acest lucru poate fi cauzat și de actualizările software legitime.
Programe malware (de ex
Spyware, Adware, Rootkit-uri)
Reclame neasteptateReclamele apar aleatoriu pe ecranele dispozitivului fără ca un browser să fie deschis.
RansomwareMesaje ransomwareMesajele apar sau blochează complet dispozitivul și pot restricționa accesul la conținut până când victima plătește o taxă specificată.
RansomwareFișier neașteptat CriptareFișierele sau folderele devin criptate aleatoriu, iar utilizatorul nu le poate deschide.
Cont Compromis Partajarea expuneriiAplicațiile de colaborare sau de teleconferință arată conexiuni anterioare diferite de cele inițiate de utilizator.
Cont Compromis Conectare neașteptatăMulte servicii oferă notificări (de exemplu, prin e-mail sau text) atunci când dispozitive noi se conectează la un cont în serviciu. Uneori vor da opțiunea de a bloca noul dispozitiv.
Cont Compromis Mesaje Trimise neintenționat Familia, prietenii sau colegii de muncă primesc mesaje sau invitații presupus de la utilizator, dar nu sunt trimise de utilizator.
Cont Compromis Afișări neobișnuiteApar mesajele „Vă rugăm să actualizați sau să schimbați parola” (care pot arăta diferit de promptul normal).

Ce trebuie să faceți dacă bănuiți că o rețea personală este compromisă Dacă acești indicatori determină un utilizator să suspecteze că rețeaua personală este compromisă, pot fi luate măsuri pentru a atenua daunele sau pentru a elimina complet amenințarea rețelei. Această secțiune recomandă pași generali pentru a răspunde la activități suspecte, precum și acțiuni mai agresive care pot fi întreprinse în funcție de gravitatea compromisului. Răspunsul la activități în general suspecte Următoarele sunt acțiuni recomandate, fără o anumită ordine, pe care utilizatorii să le întreprindă ca răspuns la unii indicatori comuni. Se recomandă ca utilizatorii să caute asistență de specialitate dacă nu au setul de abilități necesare pentru a efectua acțiunile.

Router compromis

  • Reporniți dispozitivul.
  • Dezactivați administrarea locală/la distanță.
  • Resetați dispozitivul la setările din fabrică.
  • Actualizați software-ul/firmware-ul.
  • Schimbați parolele pentru toate conturile.
  • Activați autentificarea cu mai mulți factori, dacă este cazul.

Programe malware (spyware, adware, rootkit-uri)

  • Deconectați dispozitivele suspectate compromise de la rețea.
  • Conectați-vă la conturi pe un dispozitiv separat, de încredere și modificați toate parolele care au fost folosite pe dispozitivul compromis.
  • Conectați-vă la conturi pe un dispozitiv separat, de încredere și deconectați toate dispozitivele necunoscute sau de încredere din serviciile online.
  • Rulați o scanare antivirus/redirecționare pe dispozitiv.
  • Eliminați malware-ul.
  • Restabiliți dispozitivul la o stare bună pentru care sa făcut backup anterior.
  • Rulați actualizări automate pentru sistemul de operare și software.

Ransomware

  • NU plătiți răscumpărarea.
  • Deconectați dispozitivele suspectate compromise de la rețea.
  • Rulați o scanare antivirus/redirecționare pe dispozitiv.
  • Eliminați malware-ul dacă este posibil.
  • Anumite variante de ransomware au programe sau chei de recuperare disponibile (utilizați numai din surse de renume).
  • Resetați dispozitivul la setările din fabrică.
  • Restabiliți dispozitivul la o stare bună pentru care sa făcut backup anterior.
  • Rulați actualizări automate pentru sistemul de operare și software.
  • Folosind portalul online al serviciului, deconectați toate dispozitivele care nu sunt de încredere de la servicii, cum ar fi conturile de rețele sociale.
  • Schimbați toate parolele care au fost folosite pe dispozitivul compromis.

Cont compromis

  • Schimbați parolele pentru toate conturile.
  • Activați autentificarea cu mai mulți factori, dacă este cazul.
  • Eliminați conturile și aplicațiile din rețelele sociale.
  • Resetați dispozitivul la setările din fabrică.
  • Dacă este posibil ca lista de contacte să fi fost furată, avertizează persoanele de contact pentru a evita să facă clic pe linkurile care par să provină din contul compromis.

Eradicarea agresivă a amenințărilor pe o rețea personală compromisă

Acțiunile recomandate în această secțiune sunt mai agresive: încearcă să elimine amenințarea pe un dispozitiv sau o rețea personală. Dacă este necesar, acești pași pot fi luați dacă un utilizator are cunoștințele/aptitudinile necesare, deoarece unele acțiuni pot duce la pierderea datelor sau a conectivității. Se recomandă ca utilizatorii să caute asistență de specialitate, dacă doresc

Deconectați toate dispozitivele de la rețea și resetați dispozitivele din rețea
Aceasta ar trebui să includă toate computerele, dispozitivele mobile, routerele, punctele de acces și dispozitivele IoT conectate la rețea. Odată deconectat, efectuați o resetare din fabrică pe toate dispozitivele de rețea pentru a include dispozitivele furnizate de ISP. Dacă se dorește, utilizatorii pot achiziționa routere personale sau puncte de acces care pot fi conectate la echipamentul ISP, deoarece echipamentele furnizate de ISP pot avea acreditările administrative potențial compromise. Folosind routere personale sau puncte de acces, utilizatorii pot adăuga un nivel suplimentar de securitate rețelei personale.

Efectuați o resetare din fabrică pe dispozitivele conectate anterior
Resetați din fabrică toate dispozitivele mobile, desktopurile și laptopurile. Când restaurați dispozitivele, utilizați numai suportul original al sistemului de operare pentru desktop-uri și laptop-uri și actualizați-le cât mai curând posibil. Pentru dispozitivele mobile, efectuați o resetare completă pentru a include backup/restaurare a datelor.

Schimbați imediat parolele și solicitați o nouă conectare de pe toate dispozitivele conectate
Aceasta ar trebui să includă toate parolele băncilor, e-mailului, rețelelor sociale, accesului wireless și consolei routerului de administrator. Această atenuare este crucială, deoarece atacatorii ar putea să fi obținut acreditări de utilizator în timpul compromisului. Dacă acesta este cazul, atacatorii vor avea în continuare acces la conturi, cu excepția cazului în care acreditările sunt modificate

Protejați rețelele și datele personale
Urmând măsurile de atenuare prezentate în acest document, utilizatorii ar trebui să poată eradica și/sau minimiza daunele cauzate de o rețea personală compromisă. Dacă activitatea suspectă continuă după efectuarea pașilor de atenuare, utilizatorii ar trebui să solicite sfatul unui expert pentru a ajuta la rezolvarea în continuare a compromisului sau a altei probleme.