Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

ИТ-инфраструктура

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

Открытое ПО

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

Работа с нейросетью

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

Работа с Debian

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

Опрос

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

Опрос

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

Опрос

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

Рынок труда

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

Спецпроект «Базальт СПО». Развитие Open Source в России

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

Спецпроект «Базальт СПО». Развитие Open Source в России

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 4

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 1

Рецензия на книгу «MongoDB в действии»

Друзья сайта

Давайте всё же до майских: что сисадмины и ИБ-специалисты должны сделать, чтобы “длинные” выходные не омрачились кибератаками

Давайте всё же до майских: что сисадмины и ИБ-специалисты должны сделать, чтобы “длинные” выходные не омрачились кибератаками

Каникулы, государственные праздники, любые “внеочередные” выходные дни — это повод для злоумышленников попытаться атаковать. Расчёт атакующих прост: чем меньше “защищающих” специалистов находятся на своих рабочих местах, тем выше шансы пробиться в периметр, закрепиться и нанести ущерб.

Поэтому в преддверии длинных выходных мы хотели бы напомнить о правилах, которым нужно следовать, и мерах, которые можно предпринять, чтобы существенно снизить риск серьезной кибератаки на ваш периметр, если не исключить его вовсе.

Проведите инвентаризацию

Убедитесь, что вам хорошо известны все сегменты корпоративной сети и активы, расположенные в них. Эта рекомендация кажется очевидной, однако мы до сих пор встречаем случаи, когда IT-персонал организации имел низкую осведомлённость о некоторых частях подотчетной им инфраструктуры, в том числе тех, в которых злоумышленникам удалось закрепиться. Также важно убедиться, что мониторинг событий безопасности покрывает все части инфраструктуры. Так в нашем недавнем расследовании атак Erudite Mogwai, группировка смогла закрепиться в части инфраструктуры, которая находилась вне зоны мониторинга SOC, и поэтому атакующим удавалось долгое время оставаться в тени.
Просканируйте пул публичных адресов своей компании - для этого подойдут популярные сервисы типа Censys, Shodan, Fofa. Продвинутые специалисты могут использовать и другие сканеры – те, что часто применяют команды по анализу защищенности или даже сами атакующие. Сканирование поможет понять, какие приложения, сервисы и порты доступны из сети. Возможно, некоторые из них подвержены уязвимостям! Это в том числе поможет определиться с системами, патчить которые нужно в первую очередь.

Также на период праздников можно сделать недоступными часть таких приложений и\или сервисов, если отсутствует необходимость их использования на этот период.

Сделайте бэкапы

Регулярно делать бэкапы критичных систем – всегда хорошая идея. Резервные копии необходимо хранить таким способом, чтобы их нельзя было удалить при проведении той же самой атаки на инфраструктуру компании (один из самых частых случаев в нашей практике).

Резервные копии лучше создавать по правилу 3-2-1. То есть не менее трех копий каждого файла – на двух разных типах носителей и одна копия данных – в удаленном месте. Лучше – без сетевой связанности с той инфраструктурой, данные из которой сохраняются в резервной копии.

Кроме того, рекомендуем отказаться от доменной авторизации на серверах резервного копирования. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий. Если сервер виртуальный, он не должен находиться в одной системе виртуализации с системами, с которых делаются резервные копии, а доступ к гипервизору должен быть под особым контролем.

Идеальный вариант – это когда все эти бэкапы хранятся без постоянной связности с основной сетью. Таким образом, даже если атакующие добьются успеха, из сохранившихся бэкапов можно относительно быстро вернуть в строй самые критичные серверы и сервисы компании.

В прошлом году мы нередко видели, что, добравшись до виртуальной инфраструктуры, злоумышленники полностью уничтожали её и останавливали таким образом деятельность организации. Для атакующих это относительно лёгкая добыча, поскольку современные компании часто используют виртуализацию для размещения важных бизнес-приложений, но, к сожалению, редко заботятся о её устойчивости к внешним воздействиям.

Установите патчи

Если в организации нет устоявшегося процесс патч-менеджмента, то нужно установить патчи хотя бы для всех ключевых приложений. Особенно тех, что доступны извне. Конечно, сделать это лучше не в последний день перед началом каникул, а заранее – чтобы не наткнуться на проблемы, связанные с функционированием продуктов после применения патчей.

Недавно мы сделали обзор обнаруженных в первом квартале уязвимостей в распространенных в корпоративных сетях приложениях. Мы проанализировали более 100 сообщений об уязвимостях и почти 80% из них имеют сетевой вектор, а 72% уязвимостей имеют уровень критичности High и Critical. Перед уходом на выходные убедитесь, что хотя бы эти уязвимости неактуальны для вашей инфраструктуры.

Важно помнить, что патчи нужны не только для того, чтобы защитить внешний периметр, но и для затруднения или остановки развития атаки в момент, когда атакующие уже проникли внутрь защищаемого периметра. Классический пример – компрометация какого-нибудь забытого всеми старого корпоративного портала или тестовой инсталляции, компрометация которых позволяет получить доступ к новым сегментам инфраструктуры.

Пароли и учетные записи

Скомпрометированные логины и пароли часто используются злоумышленниками для проникновения в корпоративную сеть. Поэтому:

проведите аудит учетных записей, используемых в различных сервисах (RDP, VPN, другие), удалите неиспользуемые и ненужные аккаунты;
убедитесь, что администраторские пароли достаточно сложны, смените их, если это не так или если они используются слишком давно, подключите многофакторную аутентификацию;
проведите аудит парольной политики и проверьте требования к сложности пароля, исключению возможности сделать новый пароль идентичным старому и срокам его действия. Минимальные требования к сложности пароля: сгенерированные случайным образом пароли длиной не менее 12 символов, состоящие из строчных и заглавных букв латинского алфавита, цифр и специальных символов. Все это может существенно затруднить атакующим получение учетных данных в инфраструктуре;
проведите инвентаризацию учетных записей, созданных для подрядчиков. Если подрядчики не планируют работать в праздники, то их учетные записи можно временно отключить, что защитит от атак через доверительные отношения. И не забудьте удалить эти записи, если подрядчик завершил работы;
если у вашей инфраструктуры есть сетевая связанность с инфраструктурой подрядчика (например, этого требует технологический процесс), то на время каникул её можно отключить;
убедитесь, что никакие (особенно важные) доступы (СХД, виртуализация, резервное копирование и т.д.) не хранятся в открытом виде в текстовых файлах и не сохранены в браузере. К сожалению, часто атакующие компрометируют машину привилегированного пользователя и без труда получают доступы к критичным системам, так как они были сохранены где-нибудь в браузере. Поэтому рекомендуется использовать парольные менеджеры, обновленные до последних версий;
закройте все активные сессии удаленного доступа по различным протоколам (например RDP-подключения, веб-приложения), если активное взаимодействие с системами уже не ведется. Компьютеры сотрудников, которые не будут работать все праздники, лучше отключить, чтобы сократить возможную поверхность атаки.

Оценка компрометации

Конечно, за оставшееся до праздников время не удастся провести полноценную оценку компрометации инфраструктуры, но можно ограничиться базовым набором действий, которые можно проанализировать:

срабатывания имеющихся средств защиты. К сожалению, бывают случаи, когда СЗИ сигнализируют о вредоносной активности, но ИТ- и ИБ-специалисты не обращают на эти уведомления внимания;
критичные системы на предмет появления подозрительных файлов, создания системных служб, задач планировщика, новых пользователей, установки нового ПО (и для Linux и для Windows);
входы на критичные системы - возможно, и здесь обнаружатся аномалии;
списки активных процессов, активных сетевых соединений на предмет аномалий;
системные журналы на предмет подозрительных аутентификаций на критичных системах;
статистику на сетевом оборудовании (если это возможно). Возможно, в нем будут обнаружены аномальные всплески по объемам передаваемого трафика и соединения с подозрительными доменами или IP-адресами.

Назначьте ответственных

В компании должны быть ответственные за реагирование на инциденты. Вовлеченные люди должны понимать свои роли и цели. Лучше всего иметь матрицу взаимодействий и описание шагов, которые нужно сделать оперативно в случае инцидента. Также необходимо, чтобы ответственные лица были доступны 24/7 и готовы к реагированию на инцидент даже в выходные дни.

Позовите внешних специалистов по MDR

Если же у компании нет собственных ресурсов для полноценного мониторинга и реагирования на инциденты, то можно рассмотреть помощь провайдеров услуг Managed Detection and Response. Конечно, за неделю или даже две до майских выходных такие задачи внедряются и развертываются тяжело, но, если озаботиться заранее, такой класс услуг позволит организовать круглосуточный мониторинг инфраструктуры. Это позволит избежать необратимых потерь в случае атак.

Рекомендации подготовила команда Solar 4RAYS.

Tel.: (499) 277-12-45
E-mail: sa@samag.ru