cert.by
cert.by

Распространенные проблемы и ошибки, приводящие к компрометации интернет-ресурсов. Часть 2

Опубликовано
Распространенные проблемы и ошибки, приводящие к компрометации интернет-ресурсов. Часть 2
#Компрометация интернет-ресурсов

За прошедшие два месяца в национальном сегменте сети Интернет участились случаи взломов и компрометации различных интернет-ресурсов, относящихся к частному и государственному сектору.

Анализ произошедших компьютерных инцидентов выявил общие ошибки, допускаемые администраторами, часть которых описана в первой части цикла статей.

Практически во всех выявленных инцидентах точкой проникновения в информационную систему организаций послужили старые не используемые и доступные из сети Интернет сайты. У большинства пострадавших организаций старые сайты были разработаны без использования CMS (Content Management System). Из-за неправильных настроек прав доступа к директориям злоумышленники загружали бэкдоры на указанные ресурсы, которые впоследствии эксплуатировали для своих нужд.

Стоит отметить, что злоумышленники «администрировали» скомпрометированные системы и оставались незамеченными в течении многих месяцев, а в некоторых случаях счет шёл на года. За это время они детально изучали системы и сервисы, похищали информацию и/или использовали скомпрометированную инфраструктуру для осуществления вредоносной активности в отношении других ресурсов. Все это время их не замечали из-за отсутствия либо неправильной конфигурации систем мониторинга, контроля целостности, обнаружения и/или предотвращения вторжений и других средств защиты, в отдельных случаях вовсе отсутствовали системы защиты информации.

Для снижения вероятности компрометации информационных систем и ресурсов, своевременного выявления, а также уменьшения ущерба, следует обратить внимание на рекомендации из предыдущей статьи, а также:

  1. Отключить от сети Интернет неиспользуемые веб-ресурсы.
  2. Произвести блокировку/удаление всех неактуальных учетных записей, например, уволившихся сотрудников.
  3. Ограничить или закрыть доступ из сети Интернет к тестовым/разрабатываемым web-ресурсам, если нет необходимости их публиковать.
  4. Провести ревизию прослушиваемых портов на хостах, зафиксировать список необходимых служб/демонов и отключить неиспользуемые.
  5. Провести инвентаризацию системных файлов ОС и веб-ресурсов и осуществлять постоянный контроль их целостности, с оперативным уведомлением администратора в случае выявления не легитимных изменений.
  6. Ограничить везде, где это возможно, использование/исполнение скриптов в папках веб-ресурсов, а также запретить запись файлов в директориях.
  7. Использовать VPN для доступа к внутренним ресурсам компании/организации.
  8. Организовать постоянное обучение и совершенствование знаний персонала в области обеспечения информационной безопасности, занимающегося администрированием и эксплуатацией информационных систем, корпоративной сети и веб-ресурсов.
  9. Реализовать строгое разделение привилегий между пользователями системы/ресурсов с доступом лишь к тому, что ему необходимо для работы. Исключить избыточность прав доступа.
  10. Ужесточить правила файрвола (максимальное использование принципа белого/черного списка). Обязательно ограничить доступ к админ-панели и/или к хосту для администрирования с фиксированного списка IP-адресов.
  11. Организовать запись и хранения логов (системных и приложений) в течении не менее 1 года на удаленном защищенном сервере.
  12. Перейти на использование шифрованного соединения (почта, FTP, веб-приложения и т. д.).
  13. Изменить стандартные порты и интерфейсы используемых сервисов.
  14. Использовать системы мониторинга для отслеживая состояния хостов и событий безопасности, например, системы типа SIEM (Security information and event management), HIDS (Host-Based Intrusion Detection System — хостовая система обнаружения вторжений), IPS/IDS (например, open source решения (suricata, snort и др) или коммерческие).
  15. Осуществлять на регулярной основе проведение аудитов информационных систем и ресурсов, в том числе доступных из сети Интернет.

Следует также обратить внимание государственных органов и организаций на необходимость строго соблюдения требований законодательства, регламентирующего порядок использования национального сегмента сети Интернет, в том числе в части создания, размещения и регистрации интернет-сайтов и иных государственных информационных ресурсов (систем).

В качестве основных нормативных правовых актов, затрагивающих сферу безопасности при использовании информационно-коммуникационных технологий, следует отметить:

  1. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»
  2. Указ Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет»
  3. Указ Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации»
  4. Указ Президента Республики Беларусь от 23 января 2014 г. № 46 «Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий»
  5. Постановление Совета Безопасности Республики Беларусь от 18 марта 2019 г. № 1 «О Концепции информационной безопасности Республики Беларусь»
  6. Постановление Совета Министров Республики Беларусь от 29 апреля 2010 г. № 644 «О некоторых вопросах совершенствования использования национального сегмента глобальной компьютерной сети Интернет»
  7. Постановление Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645 «О некоторых вопросах интернет-сайтов государственных органов и организаций и признании утратившим силу постановления Совета Министров Республики Беларусь от 11 февраля 2006 г. № 192»
  8. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 17 декабря2010г. № 92 «Об утверждении перечня уполномоченных поставщиков интернет-услуг»
  9. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

В случае выявления Вами инцидентов кибербезопасности следует незамедлительно проинформировать об этом CERT.BY по телефону (017) 309-24-64, либо путем направления краткого описания проблемы, выявленных индикаторов компрометации и контактных данных сотрудников на адрес support@cert.by.

Для удобства и своевременного оповещения о новостях подписывайтесь на нас в социальных сетях:
linkedin.com
facebook.com
twitter.com

Вам также может понравиться

В тени Майкрасофт. Заметки о жизни SpellingSpy.
Опубликовано

В тени Майкрасофт. Заметки о жизни SpellingSpy.

В рамках одного из очередных расследований, национальная команда реагирования на компьютерные инциденты выявила уникальное ВПО, которое можно отнести к классу SpyWare с возможностью предоставления удалённого доступа к атакованной инфраструктуре.