В связи с резко изменившейся ситуацией в области Киберугроз Компания «Акстел-Безопасность» публикует обращение к своим партнёрам и клиентам.
О сложившейся ситуации рассказывает Прокопов Максим, руководитель направления ИБ ООО «Акстел-Безопасность».
1. Актуальная картина
2022 год встречает нас новыми, незнакомыми для большинства компаний вызовами в области информационной безопасности.
В конце 2021 года ситуация в области ИБ сильно обострилась:
- Поскольку на практике начали использоваться ставшие доступными технологии искусственного интеллекта, благодаря автоматике рутинных операций, на сегодняшний день многие компании взламываются в автоматическом режиме за считанные часы после появления вектора атаки. После этого для получения максимальной прибыли от взлома подключаются и хакеры. По нашей статистике, количество взломов компаний за неоконченный первый квартал 2022 по сравнению с первым кварталом 2021 года выросло на 213%.
- Усугубилось появление временных провалов в уровне защищенности за счёт роста количества опасных (критических) уязвимостей, позволяющих «пробить» информационный периметр компании и получить максимальные привилегии по управлению информационной инфраструктурой.
- Обострился дефицит профильных специалистов на рынке ИБ (за счёт резкого роста объема работ и миграции специалистов за рубеж и в центральный и северо-западный регионы (в Москву и Питер)).
- Появились ограничения (риск ограничений) на поставку иностранных высокоэффективных систем обеспечения информационной безопасности, что осложняет процесс предотвращения и выявления инцидентов информационной безопасности.
2. Рекомендации по безопасности периметра
В связи с вышесказанным мы настоятельно рекомендуем проводить ряд мероприятий по обеспечению безопасности информационного периметра Компании. А именно:
· Осуществлять периодическое проведение сканирования на уязвимости информационного периметра Компании. При сканировании, в том числе, необходимо использовать специализированные сканеры для Веб-ресурсов и «чекеры» для проверки наличия свежих уязвимостей с высоким уровнем опасности.
· Обеспечивать установку стойких, не словарных паролей для учётных записей сотрудников, получающих доступ к информационным ресурсам. Проверка паролей должна осуществляться на техническом уровне, в том числе и по словарям.
· Осуществлять установку второго фактора аутентификации на все формы аутентификации (для которых это возможно) внешнего периметра.
· Обеспечивать осуществление безопасной публикации информационных ресурсов с использованием технологий WAF, Revers proxy и выделенной сетевой локации – DMZ.
· Использовать периметральные средства интеллектуального межсетевого экранирования и защиты от сетевых угроз (DPI, NGFW, NTA, IPS).
· Осуществлять проверку безопасности для канала получения электронной почты. Для этого рекомендуется использовать антивирус, анти-спам и технологии Sandbox, а также обязательно проведение киберучений и имитация рассылок заражённых писем.
3. Рекомендации по восстановлению после компрометации системы
Если Вы обнаружили подтверждение «пробива» периметра вашей сети или вдруг понимаете, что в данный момент злоумышленники «работают» в ней, необходимо спланировать ряд мероприятий, направленных на минимизацию рисков и выдворение «непрошенных гостей» за пределы ваших информационных систем. Сложно посоветовать стандартный набор действий для каждой ситуации, ведь всё зависит от нюансов. Однако мы попробуем дать ряд советов, которые могут помочь решить данную задачу:
· Используя средства мониторинга и журналирования, необходимо попробовать реконструировать вектор проникновения злоумышленников и область информационной системы, подверженную компрометации.
· Необходимо закрыть выявленную брешь периметра, через которую злоумышленникам удалось проникнуть в информационную систему. Это может быть уязвимый внешний сервис (например, Веб-сервис, подверженный log4j, или Exchange с уязвимостью proxy logon), фишинговое письмо, VPN, любая технология удалённого доступа и т.д.
· По возможности следует провести сетевую локализацию скомпрометированного сегмента сети.
· Следует провести смену паролей для всех привилегированных и скомпрометированных учётных записей. Для учётной записи krbtgt смену пароля провести дважды (источник: https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-password-reset-scripts-now-available-for-customers/ ). Для локальных учётных записей следует использовать утилиту Local Administrator Password Solution (LAPS) (скачать: https://www.microsoft.com/en-us/download/details.aspx?id=46899 ).
· Рекомендуем использовать средства глубокой аналитики сетевого трафика для выявления скрытых каналов управления хакерскими утилитами, используемыми для эксфильтрации данных.
4. Рекомендации по использованию иностранного оборудования и программного обеспечения
Ни в коем случае не отключайте функции безопасности и обновление сигнатур иностранного оборудования. В случае наличия НДВ (не декларированных возможностей) отказ от обновления и отказ от части функций не помогут, а уровень безопасности и эффективность использования технологий значительно упадут.
Для снижения рисков при использовании иностранных комплексов обеспечения информационной безопасности рекомендуется провести работу в двух направлениях:
· Обеспечение бесперебойности работы оборудования. Необходимо разработать план работы в случае выхода из строя или прекращения работы оборудования иностранного производства. Следует произвести отказоустойчивость за счёт дублирования функций на базе российского оборудования.
· Контроль работы и использования каналов связи иностранным оборудованием. Рекомендуется использовать технологии глубокой инспекции трафика для определения потенциального использования НДВ, осуществлять анализ использования памяти, обращение к процессам и дисковому пространству для иностранного программного обеспечения.
5. Меньше затрат – больше эффективность
Наращивание эшелонов, состоящих из новых систем информационной безопасности, зачастую не даёт необходимого прироста уровня защищенности. Однако качественная настройка параметров функций безопасности информационных систем, грамотная конфигурация средств безопасности и слаженные экспертные действия специалистов по ИБ могут качественно увеличить текущий уровень защищенности.
В связи с этим для подготовки к новым угрозам мы рекомендуем проводить работу, нацеленную на проведение киберучений, выработку планов предотвращений и локализаций последствий вторжений, усовершенствование конфигураций средств защиты, обучение сотрудников компании основам информационной безопасности и повышение квалификации специалистов в области информационной безопасности.
6. Что мы можем предложить?
Компания ООО «Акстел-Безопасность» имеет в своём портфеле ряд решений, направленных на закрытие вышеупомянутых угроз:
· проведение расследований инцидентов информационной безопасности;
· проведение Киберучений – осуществляем фишинговые рассылки, проверку настроек систем информационной безопасности, проверку безопасности учётных записей, проверку атак по матрице MITRE, L2 техники перехвата данных, тестирования на проникновения, тестирование эффективности работы SOC-центров;
· поставка систем автоматизации Киберучений;
· установка систем глубокого анализа трафика;
· осуществление полного комплекса работ по разработке курсов повышения осведомлённости и их интеграции в корпоративные центры обучения.
