Náš klient, zdravotnické zařízení, nás pod vlivem událostí, kdy podobná zařízení byla vícenásobně napadena, požádal o provedení bezpečnostního testu, zaměřeného na odhalení technických zranitelností v ICT infrastruktuře. Cílem bylo ověřit stav ICT prostředí a poskytnout ICT managementu návod, které případné nedostatky odstranit a jaká opatření přijmout.
Na základě úvodní konzultace byl stanoven rozsah testu a došlo se ke shodě, že nejefektivnější se jeví kombinace testu zranitelností a analýzy provozu.
Test zranitelností probíhal jeden týden, monitorování provozu pak bylo provedeno během jednoho celého měsíce.
Provedený test odhalil významné nedostatky v zabezpečení prvků síťové infrastruktury, systémů historicky vyvinutých specificky pro potřebu klienta a provozovaných na již nepodporovaných technologiích a závažné nedostatky v zabezpečení zdravotnické techniky, kdy byl testerem získán neoprávněný přístup na radiodiagnostické zařízení.
Monitorováním komunikace bylo dále zachyceno několik počítačů, infikovaných botnety.
Klientovi jsme poradili následující:
Již v průběhu testu jsme klientovi doporučili přijmout dílčí opatření k zamezení největších rizik.
Následně jsme s klientem prošli zjištěné zranitelnosti a ověřili, že všechny zjištěné zranitelnosti je možné řešit pomocí softwarových oprav. Doporučili jsme mu postup při jejich aplikování.
Protože řada zranitelností byla nalezena na technologiích dodávaných či spravovaných externím subjektem, doporučili jsme kromě samotné opravy provést kontrolu smluvního zajištění procesu správy této technologie a povinností dodavatele instalovat bezpečnostní opravy.
Navrhli jsem nasazení detekčního prostředku (Intrusion Detection/Prevention System) a jeho umístění a konfiguraci tak, aby průběžně upozorňoval na pokusy o zneužití zranitelností podobného typu, které byly v průběhu testu zjištěny. Doporučili jsem mu detekci realizovat, jak pro provoz z Internetu, tak v rámci komunikace mezi segmenty vnitřní sítě.
Doporučili jsme provést revizi politik přípustného využívání Internetu (Acceptable Use Policy), protože v řadě případů bylo zjištěno používání aplikací a navštěvování webových stránek, které mohou představovat riziko pro informační bezpečnost.
Doporučili jsme nasadit prostředky pro řízení aplikací a webového přístupu tak, aby dodržování pravidel „přípustného využívání Internetu“ (viz. výše) bylo podpořeno prostředky pro technické vynucování těchto pravidel. Efektivní je obvykle nasazení těchto prostředků, označovaných jako „application control“ a „URL filtering“, na perimetru sítě, například hraničním „next-generation firewallu“.
Doporučili jsme revidovat antimalware kontrolu na koncových zařízeních, jako jsou opožděné updaty, vypnutí či nepřítomnost prostředků antimalware ochrany. Dále jsme doporučili zvážit víceúrovňovou antimalware ochrany, typicky zavedením kontroly provozu na úrovni perimetru sítě, například hraničním „next-generation firewallu“.
V návaznosti na výše uvedená technická opatření jsme navrhli konkrétní úpravu procesu zvládání bezpečnostních incidentů, které tato zařízení mohou odhalit.