O bezpiecznej konfiguracji

Pozostawienie domyślnej konfiguracji oraz ustawień dla sprzętu oraz urządzeń sieciowych może spowodować powstanie nowego wektora ataku dla cyberprzestępcy. Przykładami domyślnych ustawień i konfiguracji są:
  • konto administracyjne z domyślnym hasłem, bez włączonego uwierzytelniania wieloskładnikowego.
  • domyślne, ale niepotrzebne konta użytkowników (czasami ze specjalnymi uprawnieniami).
  • preinstalowane i nieużywane aplikacje, usługi, otwarte porty.
Domyślne konta, hasła, usługi, prawa dostępów – mogą umożliwić atakującym uzyskanie nieautoryzowanego dostępu do wrażliwych informacji organizacji.

Komputery i urządzenia sieciowe

Organizacja powinna dążyć do zarządzania bezpieczeństwem ICT w zakresie komputerów firmowych i urządzeń sieciowych, dlatego regularnie należy:
  • usuwać i wyłączać nieużywane konta użytkowników.
  • zmieniać wszelkie domyślne lub możliwe do odgadnięcia hasła do kont.
  • usuwać i wyłączać zbędne oprogramowanie (w tym aplikacje, narzędzia systemowe i usługi sieciowe).
  • wyłączyć wszelkie funkcje automatycznego uruchamiania plików podczas pobierania, które umożliwiają uruchomienie lub otworzenie pliku bez autoryzacji użytkownika.
  • wdrożyć uwierzytelnienie użytkowników przed uzyskaniem dostępu do danych lub usług organizacji.
  • zapewnić automatyczne (po określonym czasie bezczynności na koncie) blokowanie urządzenia oraz blokowanie urządzenia na żądanie użytkownika, który je bezpośrednio eksploatuje.

Dane uwierzytelniające do odblokowania urządzeń

Jeżeli urządzenie wymaga fizycznej obecności użytkownika w celu uzyskania dostępu do jego usług (np. zalogowanie się do laptopa lub odblokowanie telefonu komórkowego) przed uzyskaniem dostępu do zasobów, użytkownik musi posiadać dane uwierzytelniające, takie jak dane biometryczne, hasło lub kod PIN.
W celu ochrony wybranej metody uwierzytelniania atakami typu „brute-force” należy zastosować jedno z następujących rozwiązań:
  • ograniczanie ilości i częstotliwości prób odgadywania haseł tak, aby czas oczekiwania na kolejną próbę (np. logowania) wzrastał z każdą nieudaną próbą (np. 3 próby w ciągu 5 minut).
  • blokada konta po więcej niż 3 nieudanych próbach logowania.
Do zarządzania jakością danych uwierzytelniających należy stosować zabezpieczenia techniczne. Jeśli dane uwierzytelniające służą tylko do odblokowania urządzenia, należy stosować minimalną długość hasła lub kodu PIN wynoszącą np. 6 znaków. Gdy poświadczenia odblokowujące urządzenie są również używane do uwierzytelniania, należy zastosować pełne wymagania dotyczące haseł do poświadczeń.