Ви тут:
Суспільство Україна 

Підприємства, установи і організації мають терміново посилити кіберзахист – рекомендації CERT-UA

Починаючи від 23.02.2022, Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA проведено десятки досліджень цільових атак, спрямованих на виведення з ладу інформаційно-комунікаційних систем і порушення конфіденційності інформації, яка в них обробляється.

Джерело: Cert-UA

У переважній більшості інцидентів початковою точкою компрометації є публічна інформаційна система з неоновленим і/або налаштованим за замовчанням програмним забезпеченням (поштовий сервер, VPN-сервер, вебсервер, система управління контентом (CMS) вебсайту, СУБД тощо).

Діставши доступ до такої автоматизованої системи, зловмисники розвивають атаку «вглиб» комп’ютерної мережі, викрадають паролі привілейованих облікових записів та порушують штатний режим функціонування елементів інформаційно-комунікаційної системи. Для цього, серед іншого, можуть застосовуватися шкідливі програми-деструктори, централізовано розповсюджені з використанням скомпрометованого контролеру домену. При цьому кінцевим задумом зловмисників може бути оприлюднення викраденої інформації в мережі «Інтернет».

Використання вразливого програмного забезпечення на обладнанні, яке доступне з мережі «Інтернет», збільшує поверхню атаки та створює передумови до несанкціонованого доступу. Відсутність фільтрації інформаційних потоків («внутрішніх» – між сегментами комп’ютерної мережі та вихідних – у напрямку LAN/DMZ → інтернет), а також відсутність процесів моніторингу подій безпеки негативно впливають на можливість завчасно попередити кібератаку.

Враховуючи викладене та беручи до уваги подальшу воєнну ескалацію, вважаємо за необхідне першочергово вжити заходів зі зменшення поверхні атаки, а саме:

  1. Визначити доступні з мережі «Інтернет» інформаційні системи та скласти перелік їх ідентифікаторів: IP-адреси та доменні імена.
  2. Самостійно скористатися сервісом shodan.io [1] та перевірити IP-адреси на предмет асоційованих вразливостей. У випадку наявності загрози – тимчасово вивести інформаційну систему з експлуатації, дослідити на предмет компрометації та вжити заходів з оновлення програмного забезпечення. Зауважимо, що кожен відкритий мережевий порт і відповідний сервіс – це потенційна точка входу.
  3. З метою недопущення горизонтального переміщення зловмисників мережею – серверне обладнання, на якому функціонують публічно доступні сервіси, необхідно ізолювати від локальної обчислювальної мережі та «внутрішніх» інформаційних систем. Іншими словами, скомпрометований публічно доступний сервер / сервіс не має ставати плацдармом для атаки на внутрішню мережу.
  4. Доступ до будь-яких інтерфейсів адміністрування (Mikrotik, Proxmox, ISPManager, DirectAdmin, Webmin, PhpMyAdmin, панелі керування вебсайтами тощо), SSH, RDP та інших подібних сервісів, а також систем електронного документообігу (наприклад, АСКОД) має бути дозволений лише з конкретних IP-адрес і/або з використанням VPN.
  5. У випадку виникнення потреби в консультативно-методичній та практичній допомозі, в тому числі – з перевірки вебресурсів на предмет наявності вразливостей – звернутися до CERT-UA з переліком ідентифікаторів активів за зазначеними на вебсайті контактними даними.
  6. Принагідно наголошуємо на необхідності впровадження багатофакторної автентифікації (електронна пошта, VPN, система електронного документообігу СЕД та інші сервіси).

Невичерпний перелік найбільш розповсюджених вразливостей наведений нижче. За більш детальною інформацією рекомендуємо звернутися до повідомлення CISA [2].

  • Microsoft Exchange Server: CVE-2021-34523, CVE-2021-34473, CVE-2021-31207 (ProxyShell)
  • Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065 (ProxyLogon)
  • Fortinet: CVE-2018-13379
  • Apache Log4j: CVE-2021-44228 (Log4Shell)

Нагадуємо, що відповідно до законодавства (стаття 9 Закону України «Про захист інформації в інформаційно-комунікаційних системах») відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Просимо керівників підприємств, установ та організацій, незалежно від форми власності, питання щодо впровадження вищенаведених невідкладних заходів узяти під особистий контроль.

Посилання:

[1] https://www.shodan.io/

[2] https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

Перейти до вмісту