Як посилити кіберзахист: фахівці CERT-UA вказують на помилки і надають рекомендації
28 Січня 08:49
Україна у кіберпросторі постійно захищається від дедалі більш витончених кібератак. Зловмисники постійно вдосконалюють свої методи та активно використовують слабкі місця в інформаційних системах. Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA, яка щодня працює над виявленням, аналізом і протидією кібератакам, визначила кілька рекомендації, які мають посприяти захисту від кібератак, інформує Комерсант український.
Як наголошують фахівці, аналіз численних інцидентів, які сталися протягом останніх років, доводить, що типові помилки, яких припускаються підприємства та організації, залишаються незмінними, і саме вони найчастіше дозволяють зловмисникам втілювати свої наміри.
Що послаблює кіберзахист
У CERT-UA визначили кілька основних векторів, через які відбувається успішне проникнення в інформаційні системи:
– Відомі вразливості. Часто ігнорується оновлення програмного забезпечення публічно доступних ресурсів, таких як вебсайт, поштовий сервер тощо.
– Скомпрометовані облікові записи. Облікові дані можуть бути викрадені шкідливими програмами чи «надані» користувачами, які ввели їх на фішингових сторінках. За відсутності багатофакторної автентифікації зловмисники зможуть отримати доступ до пошти, VPN чи іншої системи, акаунт якої було скомпрометовано.
– Спір-фішинг. Відсутність навчання співробітників і недостатня увага до перевірки електронних листів сприяють успішним атакам.
– Самоінфікування. Використання піратського програмного забезпечення створює значні ризики.

Проблемні місця кіберзахисту
На основі аналізу CERT-UA були визначені основні слабкі місця, які залишають підприємства вразливими до атак:
– Відсутність багатофакторної автентифікації (2FA). Це дозволяє зловмисникам легко використовувати викрадені логіни та паролі для доступу до систем.
– Недостатній захист віддаленого доступу. Віддалений доступ (наприклад, RDP) і особливо доступ до інтерфейсів адміністрування серверного та мережевого обладнання має бути дозволений для конкретних користувачів з визначених робочих місць (IP-адрес).
– Відсутність «демілітаризованої» зони (DMZ). Інтернет-доступні сервіси, такі як поштові сервери або вебдодатки, часто не ізольовані від основної мережі, що дає змогу розвивати атаку вглиб мережі.
– Недостатній контроль програмного забезпечення. Для виконання шкідливого коду хакери часто використовують стандартні утиліти, такі як PowerShell або mshta.exe. Необхідно обмежити можливість запуску таких утиліт користувачами.
– Недостатній обсяг лог-файлів. Якщо кіберінцидент все ж таки стався, інколи даних для його дослідження не вистачає через те, що журнальні файли зберігались протягом короткого проміжку часу.

Що має посилити кіберзахист
CERT-UA рекомендує організаціям:
– Перевіряти поверхню атаки. Використовуйте інструменти, такі як censys.io, shodan.io або Nmap, щоб виявити відкриті мережеві порти.
– Впроваджувати багатофакторну автентифікацію, особливо для доступу до VPN і корпоративної пошти.
– Ізолювати системи, які доступні з мережі Інтернет. Забезпечте ізоляцію інтернет-додатків, щоб компрометація одного компонента не дала можливості розвинути атаку вглиб мережі.
– Фільтрувати вихідний трафік. Використовуйте міжмережевий екран (проксі-сервер) для контролю вихідних мережевих зʼєднань.
– Розширити обсяг логів. Налаштуйте журнали подій для зберігання даних щонайменше на 180-360 діб.
– Контролювати програми, що використовуються. Дозволяйте використання лише необхідних програм, в тому числі системних утиліт.
– Забезпечити готовність до ізоляції мережі. Розробіть план реагування на випадок необхідності ізоляції сегментів мережі.
CERT-UA нагадує про важливість налагодження оперативної взаємодії. Організації, які потребують допомоги у впровадженні заходів кіберзахисту, можуть звернутися за контактами:
CERT-UA: [email protected], тел.+38 (044) 281-88-25.