Ваши данные под угрозой! Как защитить системы от злоумышленников

Подсистема Оперативного центра реагирования на киберинциденты Государственного центра киберзащиты Госспецсвязи (ГЦКЗ Госспецсвязи) является центральной составляющей системы выявления уязвимостей и реагирования на киберинциденты и кибератаки.

Она обеспечивает централизованный сбор и накопление информации о сетевых событиях информационной безопасности, централизованное управление всеми подсистемами системы выявления уязвимостей и реагирования на киберинциденты и кибератаки, а также проводит мониторинг и обработку в режиме реального времени киберугроз и киберинцидентов.

Среди всех видов уязвимостей, выявленных в результате мониторинга, можно выделить наиболее распространенные, которые злоумышленники используют для атак на информационно-коммуникационные системы.

Специалисты ГЦКЗ Госспецсвязи выделили 5 таких уязвимостей и дали рекомендации, как их устранить.

1. Наиболее распространенной выявленной уязвимостью является использование устаревших (уязвимых) операционных систем и программного обеспечения.

Специалисты советуют регулярно обновлять операционные системы и программное обеспечение до последних версий, поскольку это может значительно улучшить скорость и эффективность работы программ. При этом обновляется и система безопасности. 

Также стоит отказаться от использования программного обеспечения, которое не поддерживается производителем, применить микросегментацию (технику, которая обеспечивает детальный контроль над сетевым трафиком, разделяя его на меньшие, изолированные сегменты) и ограничить доступ к системам, регулярное обновление которых является проблематичным.

2. Чрезмерное количество открытых сервисов на АРМ (Application Performance Monitoring – Мониторинг производительности приложений) и серверах, использование которых не обусловлено производственной необходимостью.

Для устранения этой уязвимости специалисты советуют провести аудит открытых портов для выявления незащищенных сервисов и закрыть все неиспользуемые порты и службы.

Также стоит использовать брандмауэр (Firewall) для ограничения доступа только для разрешенных IP-адресов, внедрить список разрешенных сервисов (whitelist) и заблокировать все остальные.

3. Недостатки в настройках сетевого оборудования, в том числе отсутствие должным образом настроенных списков контроля доступа.

Нарушение контроля доступа – ситуации, когда пользователи получают доступ к ресурсам или функциям, не имея на это соответствующих прав. 

Для исправления этой уязвимости специалисты советуют использовать список контроля доступа (ACL) для ограничения межсетевого взаимодействия, выделить критические сервисы в отдельные виртуальные локальные компьютерные сети (VLAN) или защищенные зоны.

Также советуют внедрить DMZ (Demilitarized Zones) для сервисов, которые доступны из сети Интернет, и мониторинг трафика для выявления подозрительной активности. А еще применить фильтрацию MAC-адресов (адресов управления доступом к среде) или 802.1X аутентификацию (протокол контроля доступа клиент-сервер, который позволяет устанавливать аутентичность и запрещает подключаться к локальной сети через общедоступные порты коммутатора). 

4. Несоблюдение требований кибергигиены.

Соблюдение базовых правил кибергигиены помогает защитить устройство пользователя от поражения вредоносным программным обеспечением и возможного хищения конфиденциальной информации. 

В этом случае специалисты подчеркивают необходимость внедрения политики сложных паролей – пароль должен состоять минимум из 12 символов и изменяться каждые 90 дней.

Также советуют использовать специализированные менеджеры паролей и запретить хранение паролей в открытом виде, регулярно проводить тренинги по кибербезопасности, не допускать хранения файлов унифицированной электронной подписи на незащищенных носителях информации.

5. Особенности использования удаленного доступа. 

Удаленный доступ позволяет пользователю получать доступ к системам и данным и управлять ими благодаря подключению к компьютеру или сети из другого места.  При этом нужно соблюдать советы специалистов, чтобы не стать жертвой злоумышленников при использовании удаленного доступа. 

В частности, использовать VPN (виртуальная частная сеть) исключительно с устойчивыми алгоритмами шифрования.

Внедрить двухфакторную аутентификацию для доступа к критическим ресурсам и установить ограничения доступа по IP-адресам, а также отключить удаленный доступ для учетных записей с правами администратора.

Государственные учреждения, которые хотят усилить свою киберзащиту и получить доступ к сервисам Системы выявления уязвимостей (СВУ), могут обратиться в ГЦКЗ Госспецсвязи. В рамках функционирования СВУ доступны три основных сервиса: сетевые сенсоры (NDR), сенсоры защиты конечных точек (EDR) и управление поверхностью атаки (ASM). Каждый из этих сервисов может быть настроен в соответствии с потребностями конкретного учреждения.

Напомним, в прошлом году Система выявления уязвимостей и реагирования на киберинциденты и кибератаки ГЦКЗ помогла выявить и обработать 1042 киберинцидента.