Срочное предупреждение CISA: обеспечьте безопасность систем управления конечными точками

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предупреждает, что кибератака на корпорацию Stryker является сигналом для американских организаций: иностранная киберактивность, связанная с конфликтами на Ближнем Востоке, может начать затрагивать их собственные операции.

Злоумышленники проникли во внутреннюю среду Microsoft компании Stryker и, по сообщениям, стерли данные с 200 000 систем, серверов и мобильных устройств, одновременно извлекая 50 терабайт информации.

Для защиты от подобных вредоносных действий, связанных со злоупотреблением легитимным программным обеспечением для управления конечными точками, CISA настоятельно рекомендует организациям внедрить лучшие практики Microsoft по защите Microsoft Intune и применять те же принципы к другим платформам управления.

Агентство советует использовать принцип наименьших привилегий при проектировании административных ролей, ограничивать доступ с помощью ролевого контроля и применять устойчивую к фишингу многофакторную аутентификацию. Также рекомендуется использовать возможности Microsoft Entra ID для блокировки несанкционированного доступа к привилегированным действиям в Microsoft Intune.

«Настройте политики, требующие утверждения второй учетной записью администратора для внесения изменений в чувствительные или высокоэффективные действия (такие как очистка устройства), приложения, скрипты, RBAC, конфигурации и т.д.», — добавило CISA.

CISA заявило, что сотрудничает с федеральными партнерами, включая ФБР, для выявления потенциальных угроз и определения мер по их устранению.