Как усилить киберзащиту: специалисты CERT-UA указывают на ошибки и дают рекомендации
28 января 08:49
Украина в киберпространстве постоянно защищается от все более изощренных кибератак. Злоумышленники постоянно совершенствуют свои методы и активно используют слабые места в информационных системах. Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA, которая ежедневно работает над выявлением, анализом и противодействием кибератакам, определила несколько рекомендации, которые должны помочь защите от кибератак, информирует Коммерсант украинский.
Как отмечают специалисты, анализ многочисленных инцидентов, произошедших в последние годы, доказывает, что типичные ошибки, которые допускают предприятия и организации, остаются неизменными, и именно они чаще всего позволяют злоумышленникам воплощать свои намерения.
Что ослабляет киберзащиту
В CERT-UA определили несколько основных векторов, через которые происходит успешное проникновение в информационные системы:
— Известные уязвимости. Часто игнорируется обновление программного обеспечения публично доступных ресурсов, таких как веб-сайт, почтовый сервер и тому подобное.
— Скомпрометированы учетные записи. Учетные данные могут быть похищены вредоносными программами или «предоставлены» пользователями, которые ввели их на фишинговых страницах. При отсутствии многофакторной аутентификации злоумышленники смогут получить доступ к почте, VPN или другой системе, аккаунт которой был скомпрометирован.
— Отсутствие обучения сотрудников и недостаточное внимание к проверке электронных писем способствуют успешным атакам.
— Самоинфицирование. Использование пиратского программного обеспечения создает значительные риски.

Проблемные места киберзащиты
На основе анализа CERT-UA были определены основные слабые места, которые оставляют предприятия уязвимыми к атакам:
— Отсутствие многофакторной аутентификации (2FA). Это позволяет злоумышленникам легко использовать похищенные логины и пароли для доступа к системам.
— Недостаточная защита удаленного доступа. Удаленный доступ (например, RDP) и особенно доступ к интерфейсам администрирования серверного и сетевого оборудования должен быть разрешен для конкретных пользователей с определенных рабочих мест (IP-адресов).
— Отсутствие «демилитаризованной» зоны (DMZ). Интернет-доступные сервисы, такие как почтовые серверы или веб-приложения, часто не изолированы от основной сети, что позволяет развивать атаку вглубь сети.
— Недостаточный контроль программного обеспечения. Для выполнения вредоносного кода хакеры часто используют стандартные утилиты, такие как PowerShell или mshta.exe. Необходимо ограничить возможность запуска таких утилит пользователями.
— Недостаточный объем лог-файлов. Если киберинцидент все же произошел, иногда данных для его исследования не хватает из-за того, что журнальные файлы хранились в течение короткого промежутка времени.

Что должно усилить киберзащиту
CERT-UA рекомендует организациям:
— Проверять поверхность атаки. Используйте инструменты, такие как censys.io, shodan.io или Nmap, чтобы обнаружить открытые сетевые порты.
— Внедрять многофакторную аутентификацию, особенно для доступа к VPN и корпоративной почте.
— Изолировать системы, которые доступны из сети Интернет. Обеспечьте изоляцию интернет-приложений, чтобы компрометация одного компонента не дала возможности развить атаку вглубь сети.
— Фильтровать исходящий трафик. Используйте межсетевой экран (прокси-сервер) для контроля исходящих сетевых соединений.
— Расширить объем логов. Настройте журналы событий для хранения данных минимум на 180-360 суток.
— Контролировать используемые программы. Разрешайте использование только необходимых программ, в том числе системных утилит.
— Обеспечить готовность к изоляции сети. Разработайте план реагирования на случай необходимости изоляции сегментов сети.
CERT-UA напоминает о важности налаживания оперативного взаимодействия. Организации, нуждающиеся в помощи во внедрении мер киберзащиты, могут обратиться по контактам:
CERT-UA: [email protected], тел. 38 (044) 281-88-25.