Как усилить киберзащиту: специалисты CERT-UA указывают на ошибки и дают рекомендации

28 января 08:49

Украина в киберпространстве постоянно защищается от все более изощренных кибератак. Злоумышленники постоянно совершенствуют свои методы и активно используют слабые места в информационных системах. Правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA, которая ежедневно работает над выявлением, анализом и противодействием кибератакам, определила несколько рекомендации, которые должны помочь защите от кибератак, информирует Коммерсант украинский.

Как отмечают специалисты, анализ многочисленных инцидентов, произошедших в последние годы, доказывает, что типичные ошибки, которые допускают предприятия и организации, остаются неизменными, и именно они чаще всего позволяют злоумышленникам воплощать свои намерения.

Что ослабляет киберзащиту

В CERT-UA определили несколько основных векторов, через которые происходит успешное проникновение в информационные системы:

— Известные уязвимости. Часто игнорируется обновление программного обеспечения публично доступных ресурсов, таких как веб-сайт, почтовый сервер и тому подобное.

— Скомпрометированы учетные записи. Учетные данные могут быть похищены вредоносными программами или «предоставлены» пользователями, которые ввели их на фишинговых страницах. При отсутствии многофакторной аутентификации злоумышленники смогут получить доступ к почте, VPN или другой системе, аккаунт которой был скомпрометирован.

— Отсутствие обучения сотрудников и недостаточное внимание к проверке электронных писем способствуют успешным атакам.

— Самоинфицирование. Использование пиратского программного обеспечения создает значительные риски.

Проблемные места киберзащиты

На основе анализа CERT-UA были определены основные слабые места, которые оставляют предприятия уязвимыми к атакам:

— Отсутствие многофакторной аутентификации (2FA). Это позволяет злоумышленникам легко использовать похищенные логины и пароли для доступа к системам.

— Недостаточная защита удаленного доступа. Удаленный доступ (например, RDP) и особенно доступ к интерфейсам администрирования серверного и сетевого оборудования должен быть разрешен для конкретных пользователей с определенных рабочих мест (IP-адресов).

— Отсутствие «демилитаризованной» зоны (DMZ). Интернет-доступные сервисы, такие как почтовые серверы или веб-приложения, часто не изолированы от основной сети, что позволяет развивать атаку вглубь сети.

— Недостаточный контроль программного обеспечения. Для выполнения вредоносного кода хакеры часто используют стандартные утилиты, такие как PowerShell или mshta.exe. Необходимо ограничить возможность запуска таких утилит пользователями.

— Недостаточный объем лог-файлов. Если киберинцидент все же произошел, иногда данных для его исследования не хватает из-за того, что журнальные файлы хранились в течение короткого промежутка времени.

Что должно усилить киберзащиту

CERT-UA рекомендует организациям:

— Проверять поверхность атаки. Используйте инструменты, такие как censys.io, shodan.io или Nmap, чтобы обнаружить открытые сетевые порты.

— Внедрять многофакторную аутентификацию, особенно для доступа к VPN и корпоративной почте.

— Изолировать системы, которые доступны из сети Интернет. Обеспечьте изоляцию интернет-приложений, чтобы компрометация одного компонента не дала возможности развить атаку вглубь сети.

— Фильтровать исходящий трафик. Используйте межсетевой экран (прокси-сервер) для контроля исходящих сетевых соединений.

— Расширить объем логов. Настройте журналы событий для хранения данных минимум на 180-360 суток.

— Контролировать используемые программы. Разрешайте использование только необходимых программ, в том числе системных утилит.

— Обеспечить готовность к изоляции сети. Разработайте план реагирования на случай необходимости изоляции сегментов сети.

CERT-UA напоминает о важности налаживания оперативного взаимодействия. Организации, нуждающиеся в помощи во внедрении мер киберзащиты, могут обратиться по контактам:

CERT-UA: [email protected], тел. 38 (044) 281-88-25.

Василевич Сергій
Редактор