1. Описание зафиксированной угрозы
В связи с текущей обстановкой повышаются риски кибератак на ИТ-инфраструктуру на территории Российской Федерации, которые могут быть направлены на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры. Существует риск, что проведение компьютерных атак может осуществляться через внедрение вредоносного кода в обновления иностранного программного обеспечения. При этом распространение обновлений с вредоносными вложениями может осуществляться через центры обновлений (официальные сайты) разработчиков иностранного программного обеспечения.Ниже вы найдете рекомендации для повышения информационной безопасности в вашей компании.
2. Административные и организационные меры
- Организуйте круглосуточную готовность к проведению мероприятий по противодействию атакам и минимизации их последствий.
- Примените настройки в системе разграничения прав доступа операционных систем с целью предоставления минимально необходимого перечня прав доступа (ограничьте возможность установки программного обеспечения, создания файлов в системных директориях, запуска исполняемых файлов и пользовательских каталогов и т. д.).
- Учитывайте в работе возможность блокировки работы облачных систем корпоративных коммуникаций (почта, мессенджеры, сервисы видеоконференций и проч.) и рассмотрите варианты использования свободно распространяемых или отечественных аналогов.
- Проверьте срок действия лицензий на прикладное ПО и рассмотрите возможность перехода от подписки к бессрочным лицензиям. В целом при использовании зарубежного ПО, подверженного высокому риску отключения в РФ, продумайте переход на альтернативное ПО.
- По возможности проведите инвентаризацию сетевых связностей с вашими партнерами и поставщиками услуг (VPN/API и иные технологии взаимодействия по сети) на предмет размещения их серверов на зарубежных площадках и обсудите с партнерами сценарии митигации рисков блокировок доступа из РФ.
- Учитывайте в работе возможность блокировки push-уведомлений и продумайте альтернативные каналы коммуникации с клиентами, в том числе способы доставки чувствительной информации.
- Проведите ревизию учетных записей пользователей программного обеспечения, внеплановую смену паролей, а неактивные учетные записи заблокируйте. Используйте сложные и уникальные пароли для доступа к сервисам организации, а также рабочим местам сотрудников. Удостоверьтесь, что нигде не используются логины и пароли по умолчанию, а в случае выявления таковых — незамедлительно их поменяйте.
- Примите меры, чтобы не допустить, чтобы кто-то из сотрудников вашей компании открывал подозрительные электронные письма. Проверяйте вложения почтовых сообщений в системах динамического анализа файлов.
- Проведите с сотрудниками организации занятия по информационной безопасности, противодействию методам социальной инженерии, а также по принципам безопасной удаленной работы. Научите сотрудников не поддаваться на угрозы мошенников, требующих выкуп за восстановление данных. Направляйте сведения о таких компьютерных инцидентах в соответствующие центры для последующего реагирования.
3. Технические меры
- Обеспечьте резервное копирование чувствительной информации, а также хранение резервных копий, исключающее несанкционированный доступ к ним. Убедитесь в наличии актуальных резервных копий.
- По возможности примените на серверах электронной почты технологии Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM) для подтверждения легитимности этих серверов, а также в целях контроля входящей электронной почты по критериям, предоставляемым этими технологиями.
- Ограничьте и усильте контроль доступа к серверам обновлений приложений, так как с обновлением продуктов может произойти их деактивация. При невозможности ограничения обновлений желательно производить их через Local Update Server с тестированием на выделенном сегменте. Установку необходимых обновлений проводите после анализа угроз эксплуатации уязвимостей.
- Реализуйте защиту от DDoS-атак на критичные онлайн-ресурсы.
- Проведите инвентаризацию всех сетевых устройств и сервисов, функционирующих в вашей организации, а также правил межсетевого экранирования, обеспечивающих доступ к ним. Ограничьте доступ извне ко всем сервисам и устройствам в ИТС, кроме необходимых.
- Отключите внешние плагины и подключаемые элементы кода веб-страниц, ограничьте работу следующих скриптов по сбору статистики:
- Google AdSense
- SendPulse
- MGID
- Lentainform
- onthe.io
- Google AdSense
- Настройте логирование, убедитесь в достаточной полноте и корректности сохраняемых журналов системных сообщений безопасности и функционирования операционных систем, а также событий доступа к различным сервисам организации (веб-сайты, почтовые серверы, DNS-серверы и т. д.). В последующем это может упростить процесс реагирования на возможные компьютерные инциденты. Убедитесь, что логи собираются в необходимом объеме.
- Проверьте правильность функционирования и корректность настройки средств защиты информации, применяемых в вашей организации. На постоянной основе обновляйте базы данных средств антивирусной защиты.
- Используйте продукты для защищенного информационного обмена данными по технологии VPN.
4. Меры по миграции в инфраструктуру на территории РФ
- Следите за статусом SSL-сертификата. При использовании SSL-сертификата, выданного иностранным удостоверяющим центром (УЦ), убедитесь, что соединение с вашим информационным ресурсом остается доверенным, а используемый SSL-сертификат не отозван. В случае отзыва SSL-сертификатов, изданных иностранным УЦ, замените их на выпущенные своим удостоверяющим центром. Распространите свои корневые сертификаты среди тех, кто использует ваши сервисы (заказчики, партнеры).
- Если у вас есть адреса в зонах .com, .net и .org и другие зарубежные домены первого уровня, зарегистрируйте дополнительные адреса в доменных зонах .ru, .su и .рф.
- Используйте корпоративные DNS-серверы и/или DNS-серверы вашего оператора связи, чтобы не допустить перенаправления пользователей организации на вредоносные ресурсы. Если DNS-зона вашей организации обслуживается иностранным оператором связи, перенесите ее в информационное пространство Российской Федерации.
- Используйте средства удаленного администрирования, функционирование которых не осуществляется через иностранные информационные ресурсы.- Если ваша компания работает с зарубежными CDN-провайдерами, желательно перейти на отечественные аналоги.
- Если ваша компания использует центры обработки данных (ЦОД) за рубежом или пользуется услугами зарубежных облачных провайдеров (IaaS/PaaS), продумайте схему переноса ресурсов к российским поставщикам услуг.
- Если ваша компания распространяет свое приложение через App Store и Google Play, продумайте альтернативные каналы дистрибуции и взаимодействия с клиентами. Уже известны случаи, когда некоторые приложения компаний, попавших в санкционный список, были удалены из App Store.
5. Ссылки
- ФСТЭК «О мерах по повышению защищенности информационной инфраструктуры Российской Федерации» от 28.02.2022 г.
- https://safe-surf.ru/specialists/news/676114/
- https://www.kmiac.ru/upload/ib/Fstec_03032022.pdf
- https://www.kmiac.ru/upload/ib/Fstec_02032022.pdf