Бюллетени

04.03.2022

Предупреждение! Возможны атаки на инфраструктуру на территории Российской Федерации


1. Описание зафиксированной угрозы



В связи с текущей обстановкой повышаются риски кибератак на ИТ-инфраструктуру на территории Российской Федерации, которые могут быть направлены на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры. Существует риск, что проведение компьютерных атак может осуществляться через внедрение вредоносного кода в обновления иностранного программного обеспечения. При этом распространение обновлений с вредоносными вложениями может осуществляться через центры обновлений (официальные сайты) разработчиков иностранного программного обеспечения.

Ниже вы найдете рекомендации для повышения информационной безопасности в вашей компании.

2. Административные и организационные меры


- Организуйте круглосуточную готовность к проведению мероприятий по противодействию атакам и минимизации их последствий.
-  Примените настройки в системе разграничения прав доступа операционных систем с целью предоставления минимально необходимого перечня прав доступа (ограничьте возможность установки программного обеспечения, создания файлов в системных директориях, запуска исполняемых файлов и пользовательских каталогов и т. д.).
-  Учитывайте в работе возможность блокировки работы облачных систем корпоративных коммуникаций (почта, мессенджеры, сервисы видеоконференций и проч.) и рассмотрите варианты использования свободно распространяемых или отечественных аналогов.
-  Проверьте срок действия лицензий на прикладное ПО и рассмотрите возможность перехода от подписки к бессрочным лицензиям. В целом при использовании зарубежного ПО, подверженного высокому риску отключения в РФ, продумайте переход на альтернативное ПО.
-  По возможности проведите инвентаризацию сетевых связностей с вашими партнерами и поставщиками услуг (VPN/API и иные технологии взаимодействия по сети) на предмет размещения их серверов на зарубежных площадках и обсудите с партнерами сценарии митигации рисков блокировок доступа из РФ.
-  Учитывайте в работе возможность блокировки push-уведомлений и продумайте альтернативные каналы коммуникации с клиентами, в том числе способы доставки чувствительной информации.
-  Проведите ревизию учетных записей пользователей программного обеспечения, внеплановую смену паролей, а неактивные учетные записи заблокируйте. Используйте сложные и уникальные пароли для доступа к сервисам организации, а также рабочим местам сотрудников. Удостоверьтесь, что нигде не используются логины и пароли по умолчанию, а в случае выявления таковых — незамедлительно их поменяйте.
-  Примите меры, чтобы не допустить, чтобы кто-то из сотрудников вашей компании открывал подозрительные электронные письма. Проверяйте вложения почтовых сообщений в системах динамического анализа файлов. - 
-  Проведите с сотрудниками организации занятия по информационной безопасности, противодействию методам социальной инженерии, а также по принципам безопасной удаленной работы. Научите сотрудников не поддаваться на угрозы мошенников, требующих выкуп за восстановление данных. Направляйте сведения о таких компьютерных инцидентах в соответствующие центры для последующего реагирования.


3. Технические меры


-  Обеспечьте резервное копирование чувствительной информации, а также хранение резервных копий, исключающее несанкционированный доступ к ним. Убедитесь в наличии актуальных резервных копий.
-  По возможности примените на серверах электронной почты технологии Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM) для подтверждения легитимности этих серверов, а также в целях контроля входящей электронной почты по критериям, предоставляемым этими технологиями.
-  Ограничьте и усильте контроль доступа к серверам обновлений приложений, так как с обновлением продуктов может произойти их деактивация. При невозможности ограничения обновлений желательно производить их через Local Update Server с тестированием на выделенном сегменте. Установку необходимых обновлений проводите после анализа угроз эксплуатации уязвимостей.
-  Реализуйте защиту от DDoS-атак на критичные онлайн-ресурсы.
-  Проведите инвентаризацию всех сетевых устройств и сервисов, функционирующих в вашей организации, а также правил межсетевого экранирования, обеспечивающих доступ к ним. Ограничьте доступ извне ко всем сервисам и устройствам в ИТС, кроме необходимых.
-  Отключите внешние плагины и подключаемые элементы кода веб-страниц, ограничьте работу следующих скриптов по сбору статистики:
   o Google AdSense
   o SendPulse
   o MGID
   o Lentainform
   o onthe.io
-  Настройте логирование, убедитесь в достаточной полноте и корректности сохраняемых журналов системных сообщений безопасности и функционирования операционных систем, а также событий доступа к различным сервисам организации (веб-сайты, почтовые серверы, DNS-серверы и т. д.). В последующем это может упростить процесс реагирования на возможные компьютерные инциденты. Убедитесь, что логи собираются в необходимом объеме.
-  Проверьте правильность функционирования и корректность настройки средств защиты информации, применяемых в вашей организации. На постоянной основе обновляйте базы данных средств антивирусной защиты.
-  Используйте продукты для защищенного информационного обмена данными по технологии VPN.


4. Меры по миграции в инфраструктуру на территории РФ


-  Следите за статусом SSL-сертификата. При использовании SSL-сертификата, выданного иностранным удостоверяющим центром (УЦ), убедитесь, что соединение с вашим информационным ресурсом остается доверенным, а используемый SSL-сертификат не отозван. В случае отзыва SSL-сертификатов, изданных иностранным УЦ, замените их на выпущенные своим удостоверяющим центром. Распространите свои корневые сертификаты среди тех, кто использует ваши сервисы (заказчики, партнеры).
-  Если у вас есть адреса в зонах .com, .net и .org и другие зарубежные домены первого уровня, зарегистрируйте дополнительные адреса в доменных зонах .ru, .su и .рф.
-  Используйте корпоративные DNS-серверы и/или DNS-серверы вашего оператора связи, чтобы не допустить перенаправления пользователей организации на вредоносные ресурсы. Если DNS-зона вашей организации обслуживается иностранным оператором связи, перенесите ее в информационное пространство Российской Федерации.
-  Используйте средства удаленного администрирования, функционирование которых не осуществляется через иностранные информационные ресурсы.
-  Если ваша компания работает с зарубежными CDN-провайдерами, желательно перейти на отечественные аналоги.
-  Если ваша компания использует центры обработки данных (ЦОД) за рубежом или пользуется услугами зарубежных облачных провайдеров (IaaS/PaaS), продумайте схему переноса ресурсов к российским поставщикам услуг.
-  Если ваша компания распространяет свое приложение через App Store и Google Play, продумайте альтернативные каналы дистрибуции и взаимодействия с клиентами. Уже известны случаи, когда некоторые приложения компаний, попавших в санкционный список, были удалены из App Store.


5. Ссылки


ФСТЭК «О мерах по повышению защищенности информационной инфраструктуры Российской Федерации» от 28.02.2022 г.
https://safe-surf.ru/specialists/news/676114/
https://www.kmiac.ru/upload/ib/Fstec_03032022.pdf
https://www.kmiac.ru/upload/ib/Fstec_02032022.pdf

Возврат к списку