1. Описание зафиксированной угрозы

В связи с текущей обстановкой повышаются риски кибератак на ИТ-инфраструктуру на территории Российской Федерации, которые могут быть направлены на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры. Существует риск, что проведение компьютерных атак может осуществляться через внедрение вредоносного кода в обновления иностранного программного обеспечения. При этом распространение обновлений с вредоносными вложениями может осуществляться через центры обновлений (официальные сайты) разработчиков иностранного программного обеспечения.

Ниже вы найдете рекомендации для повышения информационной безопасности в вашей компании.

2. Административные и организационные меры

  • Организуйте круглосуточную готовность к проведению мероприятий по противодействию атакам и минимизации их последствий.
  • Примените настройки в системе разграничения прав доступа операционных систем с целью предоставления минимально необходимого перечня прав доступа (ограничьте возможность установки программного обеспечения, создания файлов в системных директориях, запуска исполняемых файлов и пользовательских каталогов и т. д.).
  • Учитывайте в работе возможность блокировки работы облачных систем корпоративных коммуникаций (почта, мессенджеры, сервисы видеоконференций и проч.) и рассмотрите варианты использования свободно распространяемых или отечественных аналогов.
  • Проверьте срок действия лицензий на прикладное ПО и рассмотрите возможность перехода от подписки к бессрочным лицензиям. В целом при использовании зарубежного ПО, подверженного высокому риску отключения в РФ, продумайте переход на альтернативное ПО.
  • По возможности проведите инвентаризацию сетевых связностей с вашими партнерами и поставщиками услуг (VPN/API и иные технологии взаимодействия по сети) на предмет размещения их серверов на зарубежных площадках и обсудите с партнерами сценарии митигации рисков блокировок доступа из РФ.
  • Учитывайте в работе возможность блокировки push-уведомлений и продумайте альтернативные каналы коммуникации с клиентами, в том числе способы доставки чувствительной информации.
  • Проведите ревизию учетных записей пользователей программного обеспечения, внеплановую смену паролей, а неактивные учетные записи заблокируйте. Используйте сложные и уникальные пароли для доступа к сервисам организации, а также рабочим местам сотрудников. Удостоверьтесь, что нигде не используются логины и пароли по умолчанию, а в случае выявления таковых — незамедлительно их поменяйте.
  • Примите меры, чтобы не допустить, чтобы кто-то из сотрудников вашей компании открывал подозрительные электронные письма. Проверяйте вложения почтовых сообщений в системах динамического анализа файлов.
  • Проведите с сотрудниками организации занятия по информационной безопасности, противодействию методам социальной инженерии, а также по принципам безопасной удаленной работы. Научите сотрудников не поддаваться на угрозы мошенников, требующих выкуп за восстановление данных. Направляйте сведения о таких компьютерных инцидентах в соответствующие центры для последующего реагирования.

3. Технические меры

  • Обеспечьте резервное копирование чувствительной информации, а также хранение резервных копий, исключающее несанкционированный доступ к ним. Убедитесь в наличии актуальных резервных копий.
  • По возможности примените на серверах электронной почты технологии Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM) для подтверждения легитимности этих серверов, а также в целях контроля входящей электронной почты по критериям, предоставляемым этими технологиями.
  • Ограничьте и усильте контроль доступа к серверам обновлений приложений, так как с обновлением продуктов может произойти их деактивация. При невозможности ограничения обновлений желательно производить их через Local Update Server с тестированием на выделенном сегменте. Установку необходимых обновлений проводите после анализа угроз эксплуатации уязвимостей.
  • Реализуйте защиту от DDoS-атак на критичные онлайн-ресурсы.
  • Проведите инвентаризацию всех сетевых устройств и сервисов, функционирующих в вашей организации, а также правил межсетевого экранирования, обеспечивающих доступ к ним. Ограничьте доступ извне ко всем сервисам и устройствам в ИТС, кроме необходимых.
  • Отключите внешние плагины и подключаемые элементы кода веб-страниц, ограничьте работу следующих скриптов по сбору статистики:
    • Google AdSense
    • SendPulse
    • MGID
    • Lentainform
    • onthe.io
  • Настройте логирование, убедитесь в достаточной полноте и корректности сохраняемых журналов системных сообщений безопасности и функционирования операционных систем, а также событий доступа к различным сервисам организации (веб-сайты, почтовые серверы, DNS-серверы и т. д.). В последующем это может упростить процесс реагирования на возможные компьютерные инциденты. Убедитесь, что логи собираются в необходимом объеме.
  • Проверьте правильность функционирования и корректность настройки средств защиты информации, применяемых в вашей организации. На постоянной основе обновляйте базы данных средств антивирусной защиты.
  • Используйте продукты для защищенного информационного обмена данными по технологии VPN.

4. Меры по миграции в инфраструктуру на территории РФ

  • Следите за статусом SSL-сертификата. При использовании SSL-сертификата, выданного иностранным удостоверяющим центром (УЦ), убедитесь, что соединение с вашим информационным ресурсом остается доверенным, а используемый SSL-сертификат не отозван. В случае отзыва SSL-сертификатов, изданных иностранным УЦ, замените их на выпущенные своим удостоверяющим центром. Распространите свои корневые сертификаты среди тех, кто использует ваши сервисы (заказчики, партнеры).
  • Если у вас есть адреса в зонах .com, .net и .org и другие зарубежные домены первого уровня, зарегистрируйте дополнительные адреса в доменных зонах .ru, .su и .рф.
  • Используйте корпоративные DNS-серверы и/или DNS-серверы вашего оператора связи, чтобы не допустить перенаправления пользователей организации на вредоносные ресурсы. Если DNS-зона вашей организации обслуживается иностранным оператором связи, перенесите ее в информационное пространство Российской Федерации.
  • Используйте средства удаленного администрирования, функционирование которых не осуществляется через иностранные информационные ресурсы.-  Если ваша компания работает с зарубежными CDN-провайдерами, желательно перейти на отечественные аналоги.
  • Если ваша компания использует центры обработки данных (ЦОД) за рубежом или пользуется услугами зарубежных облачных провайдеров (IaaS/PaaS), продумайте схему переноса ресурсов к российским поставщикам услуг.
  • Если ваша компания распространяет свое приложение через App Store и Google Play, продумайте альтернативные каналы дистрибуции и взаимодействия с клиентами. Уже известны случаи, когда некоторые приложения компаний, попавших в санкционный список, были удалены из App Store.

5. Ссылки