Накануне прошел первый день Форума по вопросам информационной безопасности Cyber V. Основатель интернет-агентства «Паравеб» Эмиль Ахтямов выступил с докладом о надежности государственных сайтов, рассказал о взломах, с которыми сталкивались клиенты компании в прошлом году, а также поделился советами о том, как отразить атаку, если она уже началась. Публикуем выдержки из доклада.
В прошлом году общее количество кибератак возросло на 80% по сравнению с 2021 годом. В июне прошлого года, в разгар приемной кампании, были атакованы университеты различных регионов, и сайты многих из них были недоступны в течение недели. Для университетов это было очень критично.
«Паравеб» — разработчик решений для образовательных организаций, разработчик технической платформы федеральных проектов «Приоритет 2030» и «Передовые инженерные школы». В течение нескольких лет 95% наших клиентов — государственные компании. Основной наш фокус — это образовательные учреждения, в частности университеты.
Поэтому июнь у нашего агентства был насыщенный. Приходилось отражать или бороться с последствием как DDOS-атак, так и просто взломов. Мы помогали многим университетам, в том числе и тем, с которыми не состоим в коммерческих отношениях. Здесь нам помогли наши партнеры — компания «MaskSafe».
Самые популярные способы атак на гос.сайты в нашем опыте:
1. Устаревшее веб-окружение. Пункт достаточно простой, но не обновленное ПО привело к достаточно серьезным утечкам данных.
Один из наших клиентов – известная госкорпорация. Ее сайт находится в ведомстве одной организации, а размещается на серверах другой организации, входящей в холдинг. Бюрократический механизм устроен таким образом, что ответственные за обслуживание сайта на сервере не могут обновить веб-окружение по причине того, что сайт может начать работать с ошибками. В прошлом году из-за неактуального веб-окружения база данных компании была взломана и размещена в телеграм-канале. Она содержала в себе пароли сотрудников этой госкорпорации. После проверки паролей службой безопасности было обнаружено, что они совпадают с паролями их информационных систем. Сайт и все учетные записи были заблокированы. Был уведомлен Роскомнадзор, и началось глобальное расследование утечки базы данных. Главная уязвимость — неактуальное веб-окружение, старая версия php, через которую был осуществлен взлом.
2. DDOS-атаки и атаки ботов. В прошлом году наблюдались также массивные атаки на сайты СМИ. Наше агентство третий год занимается тех.поддержкой новостного сайта Новосибирска (заказчик – мэрия города), который написан на Битриксе. В прошлом году на него была совершена интересная DDOS-атака, которая учитывала особенности кэша этой системы.
«Кэш — это своеобразный буфер между интернетом и браузером. Когда сайт высоко нагружен, в идеальной ситуации кэш должен работать следующим способом: при, например, 100 пользователях сайта новая информация отдается только первому пользователю, и создается страница кэша, которая показывается остальным 99 пользователям. Таким образом, получается оптимизация запросов в базе данных, и сервер не нагружен. В 1С Битрикс кэш работает немного по-другому. Если на сайт приходит одновременно 100 пользователей, то для каждого из них создается своя страница по хронологии. Когда в моменте пользователей не так много, это не страшно.»
Мы столкнулись с атакой через ботов при публикации новых новостей. Первую волну в одну тысячу ботов легко заблокировал firewall, а вторая волна содержала 100 тысяч ботов. Когда новости не выходили, firewall справлялся, но, как только выходила новость, 100 тысяч «человек» сразу запрашивали кэш. Кэш активно генерировался, и сервер выходил из строя. Здесь пришлось решить проблему на программном уровне, но сам способ атаки интересный.
3. Через открытые порты и через встроенные виджеты. Когда произошел массовый взлом сайтов СМИ, мы долго думали с коллегами из мэрии, почему наш сайт не был атакован. Как оказалось, у новостных сайтов есть свой внутренний счетчик, помимо метрик Google и Яндекса. На сайтах большинства СМИ такой счетчик был установлен, и его взломали. Был внедрен скрипт, который формировал изображение, через которое осуществлялась атака. Вы как простой пользователь заходили почитать новость, но на самом деле, сайт отдавал вам картинку, через которую вы атаковали сотни других сайтов, сами того не подозревая. И так как это были сайты СМИ, у них был очень высокий охват и «чистые» IP-адреса, что усложнило отслеживание таких атак.
Хотя в прошлом году было совершено большое количество атак, уже этой весной обещают их увеличение на 300%. К этому нужно готовиться. В прошлом июне были взломаны сайты многих университетов, приемные кампании очень сильно страдали, и большинство атак были реализованы с помощью DDOS-методов.
Как подготовиться к возможным будущим атакам?
1. Создать тестовый сегмент, в котором все обновления будут проверяться на предмет работоспособности.
Совет очень простой, но у государственных организаций есть с этим проблемы. Некоторые клиенты не имели тестового сегмента, и соответственно, не имели возможности тестировать обновления. Чтобы следить за обновлениями веб-окружения, нужно создать эту тестовую среду. Обновления создают риск несоответствия сайта последнему веб-окружению. Это приводит к возникновению ошибок и, конечно, нужна отдельная тестовая среда, чтобы их устранить.
2. Настроить расширенный аудит средств защиты информации и обеспечить широкие возможности по анализу логов.
Нужно внимательно следить за логами, потому что иначе вас могут взломать, а вы даже не узнаете.
3. Защитить веб-приложения через WAF. Можно сразу внести определенные региональные подсети в черные списки.
В современных реалиях гос. учреждениям будет трудно самостоятельно бороться с кибератаками, потому необходим WAF. Мы долгое время работаем с Сибирским государственным медицинским университетом, разрабатываем для вуза информационные системы, и в прошлом году мы обратились к нашим партнерам MaskSafe, чтобы они помогли установить WAF в информационные системы вуза. Когда в июне происходили массивные атаки на университеты, СибГМУ преодолел их за несколько часов, в то время как некоторые университеты бездействовали примерно неделю, у них не работали сайты. Это очень пагубно сказалось на их приемных кампаниях.
4. Проверить веб-приложения на наличие внешних компонентов, которые подгружают данные с внешних ресурсов.
Стоит проверять приложения на наличие внешних компонентов, если у вас были куплены внешние виджеты, баннеры, метрики. Стоит уточнить, попадают ли они в запрещенные списки. Внешние сервисы тоже приводят к тому, что их могут взломать и совершать атаки на различные ресурсы, используя ваш сайт.
5. Провести инвентаризацию периметра на предмет открытых портов, устаревшего веб-окружения, а также выключить неиспользуемые сервисы.
Все эти пять пунктов обязательно повторять ежемесячно, потому что количество взломов растет. В этом году аналитики предупреждают нас о том, что количество взломов значительно увеличится, и к этому стоит готовиться уже сейчас.
