В первую очередь. Ваши действия в связи с уходом иностранных производителей

BIS Journal №3(46)/2022

9 августа, 2022

В первую очередь. Ваши действия в связи с уходом иностранных производителей

ВЫБРАТЬ КРИТИЧНЫЕ РЕСУРСЫ ДЛЯ ЗАЩИТЫ

Выделите критичные для вас ресурсы, которые должны быть постоянно доступны вашему бизнесу, и защищайте их. Важно, что именно бизнес должен указать техническому персоналу те моменты, на которых нужно сфокусироваться. В зависимости от бизнес-процесса для кого-то критичным будет один сервер, управляющий производством, а для кого-то – ноутбук генерального директора или главного бухгалтера. В каждом бизнесе своё. И главное – сфокусироваться на контроле самого важного. Чтобы сохранить работающие бизнес-процессы, нужно оценить, какое оборудование и какой софт уже не работает, что перестанет работать в ближайшей перспективе, чем их можно заменить, как сохранить имеющиеся. Важно, что ресурсом являются и ваши сотрудники –нужно сохранить ключевых сотрудников и их экспертный опыт.

Всё, что описано выше, входит в Business Impact Analysis (BIA). Согласно международным стандартам, ваш вице-президент по безопасности должен курировать этот процесс и на уровне бизнеса задавать recovery time objectives (RTOs) и recovery point objectives (RPOs), планируя стратегию защиты на основе этих чётких параметров. Самые срочные задачи описаны ниже.

 

СДЕЛАТЬ БЭКАПЫ И ХРАНИТЬ ИХ ОТДЕЛЬНО ОТ СЕТИ

Если проанализировать взломы последних месяцев, частая причина невозможности восстановить бизнес заключалась в том, что атакующий уничтожал не только рабочие системы, но и их архивы. Сделайте бэкапы и отделите их от сети физически, чтобы их гарантированно невозможно было уничтожить. Атака криптолокера на норвежскую сталелитейную компанию Norsk Hydro вызвала остановку всего бизнеса в 40 странах мира: производства алюминия, складов, офисов продаж. После атаки у них работала только облачная почта в Office 365. И именно через почту они смогли быстро скоординировать усилия и восстановить из архивов данные, серверы и рабочие станции. Правда, это заняло несколько месяцев.

 

ЗАКРЫТЬ НЕНУЖНЫЕ ВНЕШНИЕ РЕСУРСЫ И УЯЗВИМОСТИ

Рисунок 1. Согласно отчёту компании Positive Technologies, подбор учётных данных остаётся основным способом проникновения во внутреннюю сеть: для проектов пентеста 2020–2021 гг. использовать эти уязвимости удалось в 71% проектов (источник)

 

  • Часто компании даже не знают о своих сервисах, доступных всему интернету, а также об их уязвимостях. Взломы последнего времени показали, что внешние ресурсы – самый частый способ проникновения в сеть: электронная почта, веб-сайты, сервисы управления. Любые выставленные в интернет ресурсы: веб-серверы, VPN-шлюзы, почтовые серверы, DNS-серверы, каналы связи –могут подвергнуться атакам.
  • Согласно отчёту компании Positive Technologies, подбор учётных данных остаётся основным способом проникновения во внутреннюю сеть: для проектов пентеста 2020–2021 гг. использовать эти уязвимости удалось в 71% проектов (рис. 1).
  • Множество взломов последнего года было выполнено через уязвимости Exchange, Citrix, CMS Joomla. Чтобы проактивно выявлять и закрывать уязвимости в них, используйте сканеры безопасности и внедрите процесс управления уязвимостями.
  • Стоит обратить внимание на новый класс продуктов Attack Surface Management и на услуги класса Advanced Border Control. Необходимо назначить ответственного за каждый ресурс, чтобы в случае инцидента знать, к кому обращаться.
  • Если у вас используется удалённый доступ к сети, всегда используйте двухфакторную аутентификацию, причём желательно российского производителя.
  • Внешняя поверхность атаки – это ещё ваши удалённые сотрудники. Они могут быть атакованы, работая дома, ваш риск – они подключаются с заражённого устройства. VPN-шлюз должен устанавливать туннель с удалённым сотрудником через системы фильтрации трафика и проверки защищённости сотрудника, чаще всего реализованные в UTM/NGFW.

 

ЗАЩИТИТЕСЬ ОТ DDoS

  • Часто публичные ресурсы нужны для работы, и сегодня их пытаются вывести из строя. По мнению большинства экспертов, атаки в 2022 г. в основном проводят политически мотивированные пользователи сети Интернет без специальных знаний в ИТ-технологиях. Их атаки не отличаются сложностью и легко блокируются доступными программно-аппаратными продуктами и сервисами защиты. Важно, чтобы такие средства у вас вообще были.
  • Чтобы подготовиться к DDoS-атакам на сервисы компании, установите нужное оборудование у себя или у провайдера либо подключите сторонние сервисы защиты от DDoS.
  • При наличии веб-сервера на уровне веб-приложений часто используются решения класса WAF –они тоже умеют блокировать DDoS.
  • Уже несколько раз звучали угрозы отключить Россию от интернета. Проанализируйте, а лучше проведите киберучения: будут ли работать бизнес-процессы при отключении страны от интернета?

 

ПЕРЕХОД НА РОССИЙСКИЕ АНАЛОГИ

  • К атакам типа «выведение из строя» относятся и риски ухода иностранных поставщиков. Необходимо проанализировать, в чьей юрисдикции находится каждый поставщик программного и аппаратного обеспечения, и подготовить меры по переходу на локального поставщика в случае отказа от поддержки.
  • Рекомендуется перейти из иностранных облачных сервисов HaaS, PaaS, SaaS, FaaS на их российские аналоги.
  • Одна из угроз доступности внешних сервисов –отзыв сертификатов SSL/TLS. Проверьте, кто выдал вашим сервисам текущие SSL/TLS-сертификаты, и подготовьтесь к худшему сценарию, когда ваш сертификат отзовут.

 

ХАРДЕНИНГ

  • Проанализируйте прошлые инциденты в вашей компании, и вы сразу поймёте, что вам надо улучшить в защите.
  • Во многих операционных системах и приложениях есть дополнительные настройки безопасности. Включите их. Для каждой операционной системы есть специальное описание, как это можно сделать, – hardening.
  • Ваши критичные ресурсы должны быть запрятаны как можно дальше от возможных взломов, поэтому необходимо провести сегментацию сетей.
  • Сейчас самое время провести инвентаризацию учётных записей и сменить пароли, чтобы не сомневаться в том, что сотрудники не скомпрометировали их.
  • Проверьте, что у вас хорошо реализована двухфакторная аутентификация как минимум для VPN, – к сожалению, существуют техники её обхода.
  • Двухфакторная аутентификация должна быть не только при доступе из внешних сетей, но и для доступа из одной внутренней сети в другую. Проверьте, что она включена везде. Это сдерживает скорость перемещения злоумышленников между сетями и даёт возможность службе безопасности обнаружить несанкционированную работу в сети.
  • Сегодня важно убедиться, что процесс собственной разработки не использует публичные библиотеки исходного кода, которые могут быть исправлены злоумышленником. Стоит посмотреть, какие продукты класса SAST или DAST помогут вам в этом.

 

АУДИТ ЗАРАЖЕНИЙ

По статистике компании Positive Technologies, 9 из 10 компаний не знали, что они уже взломаны. В связи с этим замечанием рекомендуется проверить, что ваша компания в данный момент ещё не заражена и не содержит компьютеров или сетевых устройств, где установлены уже известные виды вредоносного программного обеспечения. Для этого рекомендуется заказать внешний аудит. Возможно, вы можете использовать для этого экспертизу вашего центра мониторинга, blue team или read team. Нередко в компаниях есть свои группы реагирования на инциденты, собственный центр управления кибербезопасностью (SOC) или внешние эксперты используются через сервисы MDR или MSS. Ваши эксперты периодически должны проверять вашу сеть на наличие признаков вторжений – этот процесс называется threat hunting.

 

ОБУЧЕНИЕ СОТРУДНИКОВ

  • Современные атаки часто используют социальную инженерию, фишинг, watering hole, методы горизонтальных перемещений и взломы цепочки поставок. Проведите обучение сотрудников, чтобы они знали о возможных атаках социальной инженерии и о том, как правильно реагировать, если звонят из «службы безопасности». Часто сначала ломают вашего друга или партнёра, а затем через него проникают в вашу сеть, пользуясь доверием. Технологии дипфейк позволяют подменить и голос, и видео, поэтому риски могут быть с разных сторон.
  • Оповестите сотрудников о том, на что обращать внимание при работе с поступающей электронной почтой, общении по телефону и почему опасно впускать в офис незнакомых.
  • Чтобы любой сотрудник компании, в том числе любой сторонний человек, смог оповестить вашу компанию об инцидентах, распространите публично хоть какие-то контакты: куда можно обращаться в подобных случаях. Обычно это имейл или телефон дежурной смены центра управления безопасностью, центра реагирования на инциденты (SOC, CSIRT) либо техподдержки.
  • Обменивайтесь информацией с коллегами по отрасли, проверяйте, как бы вы справились с инцидентом, который случился у соседей. Ведите статистику собственных инцидентов и отражайте во внутренних документах, как вы с ними справились.
  • Обновите планы реагирования на основные типы инцидентов (DDoS, шифрование данных, взлом сайта, кража логинов и паролей сотрудников и клиентов, отказ оборудования), проверьте, доведены ли они до сведения всех сотрудников. Выясните, какие есть возможности для замены оборудования.
  • Необходимо проинструктировать сотрудников или провести для них киберучения по действиям при атаке криптолокера, DDoS, краже конфиденциальных данных, остановке производства. В случае реального инцидента учиться будет некогда.

 

СЕГМЕНТАЦИЯ СЕТИ

  • Сегментация – это не просто разделение на подсети или VLAN, это ещё и чёткие правила доступа на межсетевом экране (любого поколения) в каждый сегмент для каждого сотрудника и каждого приложения, которые ему требуются для работы.
  • Знаю, что для многих правила по имени сотрудника или по его роли – новинка. Однако, если секретарь директора может по SSH подключаться в ЦОД, возникает вопрос к сотрудникам службы безопасности: зачем они написали правило на firewall, которое это разрешает?
  • Успешные атаки внутри сети также не обходятся без подбора учётных записей: этот метод использовался в 93% успешных атак, по исследованию компании Positive Technologies. Используйте двухфакторную аутентификацию и identity firewall между внутренними сегментами, а также поведенческий анализ, чтобы отличить преступника от собственного сотрудника, работающих под одним аккаунтом.
  • Существуют разные поколения межсетевых экранов. Избавьтесь от старинных правил на межсетевых экранах по портам TCP и UDP и напишите правила по конкретным приложениям, ведь по одному порту может ходить множество приложений. Не полагайтесь только на прокси-серверы, которые защищают только веб-трафик, – атакуют ещё по DNS, ICMP и по другим приложениям.
  • Единственное, что хоть как-то сдерживает сегодня злоумышленника, – это контроль трафика ваших приложений. Однако правила по приложениям важно правильно настроить: если у вашего NGFW критерием правил всё равно являются порты TCP и UDP, после взлома одного сервера в ЦОД злоумышленник легко перемещается между серверами по разрешённым вами же соединениям. Например, если вы разрешили доступ по порту 80, думая, что там будет только HTTP, после расследования взлома большим откровением для вас станет, что там ходил SOCKS5.
  • Иногда заказчики жалуются, что у текущих устройств защиты недостаточно производительности или неудобно встроить контроль приложений архитектурно, чтобы включить контроль приложений между внутренними сегментами сети. Нужно помнить, что контроль приложений и аккаунтов пользователей можно реализовать и в NGFW, и в системах класса NTA/NDR, которые подключаются к сети в режиме прослушивания на SPAN-порт или через устройства TAP.

 

МОНИТОРИНГ ПЕРИМЕТРА И СОТРУДНИКОВ, РАБОТАЮЩИХ ДИСТАНЦИОННО

Многим компаниям нужно начать контролировать исходящие из сети соединения на предмет перемещения вредоносного контента и подключения к известным вредоносным адресам в Интернете и для сотрудников в офисе, и для сотрудников, работающих из дома. Для этого все их соединения нужно категорировать как через общеизвестные базы URL-категорий, так и через базы Threat Intelligence, специальные блокировщики DGА-доменов, «песочницы» и методики анализа контента приложений. Такие техники контроля исходящих соединений есть в решениях NGFW, SOAR, ZTNA, UTM, NTA и NDR.

 

МОНИТОРИНГ ВНУТРЕННЕГО ТРАФИКА

Парадигма защиты поменялась. Взламывают даже такие бренды, как Sony, BMW, Linkedin, Garmin, RuTube. Проникнуть сегодня можно в любую компанию – невозможно заранее предугадать неизвестные уязвимости, как невозможно защититься от всех ошибок пользователей. По статистике Forrester, предприятия тратят в среднем 37 дней и $2,4 млн на обнаружение и устранение последствий взлома.

Вдобавок после проникновения злоумышленник чаще всего работает от имени сотрудника компании, совершенно легитимными утилитами. Выявить злоумышленника сегодня можно только по поведению и по его ошибкам: он будет сканировать сеть, перемещаться между сегментами, повышать привилегии, подключаться к своим серверам управления. Подключения изнутри наружу к внешним серверам можно увидеть на периметровых устройствах защиты. Перемещение между сегментами увидеть гораздо сложнее – нужно контролировать работу таких протоколов, как RPC, SMB, Kerberos, RDP, SSH,  а ещё инкапсулированных внутрь VLAN, VXLAN или GENEVE. Для контроля внутреннего трафика сегодня применяются решения класса NTA/NDR. Именно сетевой трафик – ахиллесова пята взломщика: в сетевом трафике спрятать своё поведение невозможно, даже если он зашифрован. 

 

ВЫПОЛНИТЕ ТО, ЧТО НЕОБХОДИМО

Люди нередко хорошо знают, как правильно поступать, но часто откладывают это на потом: поменять пароли, внедрить двухфакторную аутентификацию хотя бы для VPN, сделать бэкапы, нанять людей, вывести часть функций на аутсорсинг, осуществить харденинг, составить актуальную логическую схему сети, разобраться в адресном пространстве… И сегодня наступило то самое время, когда надо действовать!

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.09.2022
Минцифры формирует свой ИТ-резерв
26.09.2022
О новых техносанкциях от Евросоюза
26.09.2022
Теперь Таджикистан? Банк Dushanbe City утратил контакт с «Миром»
26.09.2022
Новый выход Anonymous. Группа объявила кибервойну Ирану
25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных