Преступный тренд: ноль дней. Как защитить бизнес от кибератак сегодня

Какие инструменты информационной безопасности помогут выстроить грамотную защиту бизнеса, рассказал руководитель направления информационной безопасности облачного провайдера #CloudMTS Константин Чернушкин.

В последние месяцы наблюдается резкий рост числа кибератак полного спектра. Замечены десятки видов различных вредоносных активностей, включая известные всем DDoS-атаки. На фоне прекращения поддержки со стороны многих зарубежных вендоров, а в ряде случаев и с полным отключением их сервисов, заметно выделяются риски уязвимостей нулевого дня (zero day, или 0-day). Их особенность в том, что злоумышленники разрабатывают и применяют вредоносный код к уязвимостям популярных программ тотчас же, как только о них стало известно, и до того, как эти «бреши» в системе исправлены или разработаны защитные механизмы.

Но чаще всего время есть. Злоумышленники черпают информацию из открытых источников – в большинстве случаев от самих же разработчиков, которые уязвимость уже устранили, выпустили обновление и опубликовали информацию об этом. Однако администраторы вовремя не отреагировали, и злоумышленники успели применить вредоносный код.

От zero day невозможно защититься имеющимися у клиента средствами информационной безопасности. Главный рецепт – своевременные обновления систем. Однако и с ними могут возникнуть проблемы. Весной этого года была опубликована информация о нескольких критических уязвимостях, касающихся ядра операционной системы Linux. При этом разработчики ОС Linux не могли своевременно выпустить обновления, иногда выпуск затягивался до двух недель. Все это время уязвимость существовала, а вредоносный код, с помощью которого ее можно было эксплуатировать, находился в открытом доступе.

Даже если обновления выпущены, стоит десять раз подумать, перед тем как их устанавливать, потому что они могут содержать скрытые возможности для злоумышленников, не описанные или не соответствующие описанным в документации. Выбирать приходится из двух зол: обновиться на свой страх и риск и, вероятно, получить ПО с не декларированными возможностями или не обновиться вовсе и иметь гарантированную уязвимость в действующем ПО, о которой уже знают недоброжелатели и уже пишут под нее вредоносный код. Выбор непростой. Некоторые компании приняли решение о моратории на обновления ПО.

Сценарии реагирования отличаются в зависимости от развития ситуации. Если уязвимость касается удаленного доступа к системам из внешних сетей, то здесь надо думать – обновляться, вовсе закрыть доступ к сервису или рассчитывать на средства межсетевого экранирования с системой предотвращения вторжений и с защитой веб-приложений (Web Application Firewall – WAF).

Сейчас наблюдается рост числа атак всех видов. Они направлены как на отказ в обслуживании (DDoS-атаки), так и на получение несанкционированного доступа к информации. Используются выявленные уязвимости систем, применяется вредоносное программное обеспечение. Из всех возможных средств для обеспечения кибербезопасности клиенты подключали и стали еще чаще подключать именно защиту от DDoS. Но этого, как правило, недостаточно.

1. Комбинируйте: защита от DDoS + WAF

Полноценно решить проблему отказа в обслуживании можно только сочетанием традиционных инструментов защиты от DDoS (системы и сервисы анализа и очистки трафика) и средств защиты веб-приложений (WAF). DDoS-атака может реализовываться злоумышленниками в определенный момент времени именно в отношении Web-сервисов, где иные средства могут быть бессильны. Убедитесь, что вы используете комплексное решение.

2. Используйте межсетевое экранирование в связке с системами обнаружения (IDS) и предотвращения вторжений (IPS)

Сейчас, когда обнаруживается уязвимость систем и в открытом доступе появляется использующий её вредоносный код, время реагирования как разработчиков, так и администраторов этих систем зачастую неудовлетворительно. На устранение уязвимостей тратится непозволительно много времени: от нескольких дней до нескольких недель. Ситуацию усугубляет уход некоторых вендоров с российского рынка, сопровождающийся прекращением технической поддержки. На запрос обновлений вам могут просто не ответить.

Традиционные средства защиты в таких случаях – это межсетевые экраны. Они помогают фильтровать пакеты, запрещающие или разрешающие передачу информации по тому или иному адресу. Целесообразно дополнять эти решения еще и системами обнаружения (IDS) или предотвращения вторжений (IPS). Они позволяют выявить по характерному почерку атаки из внешних сетей, эксплуатирующие известные уязвимости, и заблокировать их.

3. Отключите режим автоматического обновления сигнатур IDS/IPS/WAF

При использовании систем обнаружения/предотвращения вторжений и межсетевых экранов уровня приложений (WAF) вендоров, которые ушли из России, по возможности, отключите режим автоматического обновления сигнатур. Производите их исключительно по результатам предварительного тестирования: не перестало ли ваше средство защиты реагировать на атаки после обновления? И обязательно храните резервные копии.

Сигнатура атаки – это характерный почерк, определенная последовательность пакетов, содержащих данные, на основании чего можно сделать вывод, что злоумышленник пытается воспользоваться той или иной уязвимостью. Как только система выявляет подобные действия, она реагирует «Cтоп, дальше нельзя!» и разрывает соединение, предотвращая атаку.

4. Не забудьте про резервное копирование

Снизить риски и уменьшить неопределенность развития событий при киберугрозах также помогут средства резервного копирования и восстановления. Мы предоставляем разные варианты надежного хранения резервных копий платформ виртуализации, OC, баз данных.

В случае сбоя ИТ-инфраструктуры поможет аварийное восстановление в облаке провайдера – Disaster Recovery. Впрочем, стоит помнить о том, что это не столько средства защиты, сколько базовые принципы организации информационных систем в компании, которые необходимо соблюдать всегда.

5. Учитывайте риски при использовании оборудования и ПО зарубежного производства

События последних месяцев вынуждают проявлять бдительность даже там, где раньше это казалось избыточным, и максимально контролировать используемые решения от зарубежных вендоров. Например, блокировать вендорам доступ к управлению функциональностью (в том числе, лицензиями) их продукции, отключать автоматические обновления. Как уже отметил выше, недобросовестный вендор может включить в очередное обновление не декларированные возможности, с помощью которых злоумышленники получат контроль над системой. Известны случаи, когда продукция вендора теряла часть функциональности как раз из-за открытых возможностей удаленного управления.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) после сообщений вендоров о приостановке деятельности в России, соответственно, приостановила действие своих сертификатов на их продукты. Российские компании должны будут найти альтернативные сертифицированные решения.

Вне зависимости от того, обязательно или нет клиенту использовать сертифицированные средства сегодня, этот критерий может являться полезным ориентиром: сертификат ФСТЭК – не только подтверждение соответствия требованиям по защите информации, но и индикатор доверия государства к вендору в целом.

Нас отзыв сертификатов ФСТЭК не затронул в отличие от многих сервис-провайдеров. Функционирование и безопасность нашей инфраструктуры в части средств защиты информации построены на решениях вендоров, доверие к которым у государства и бизнеса сохраняется. Портфель таких решений мы активно расширяем и разрабатываем собственные, увеличивая штат специалистов, в том числе, в области информационной безопасности.

Если действовать на опережение и соблюдать базовые правила кибербезопасности, можно существенно снизить вероятность инцидентов сейчас и в будущем.