В Госспецсвязи рассказали, как защититься от кибератак
Государственная служба специальной связи и защиты информации опубликовала рекомендации по предотвращению кибератак. Они разработаны для учреждений и организаций, а также непосредственно для IT-специалистов, которые контролируют работу компьютерных сетей в них.
Авторы рекомендаций – специалисты центра CERT-UA (Computer Emergency Response Team of Ukraine) – команды реагирования на компьютерные чрезвычайные события, которая является подразделением Государственного центра киберзащиты и противодействия киберугрозам Госспецсвязи, передает «Закон и Бизнес».
ОБЩИЕ РЕКОМЕНДАЦИИ
Государственного центра киберзащиты и противодействия киберугрозам Госспецсвязи для повышения уровня защиты информационных ресурсов и систем и для предотвращения кіберінцидентам в учреждениях, на предприятиях и в организациях
По результатам устранения последствий кибератак на ресурсы объектов финансового, транспортного, энергетического секторов Украины Государственная служба специальной связи и защиты информации Украины рекомендует осуществить ряд организационных мероприятий в учреждениях, на предприятиях и в организациях с целью предотвращения киберинциндентов и содействие повышению уровня киберзащиты электронных ресурсов и систем, а именно:
1. Провести аудит принятых мер защиты и уровня информационной безопасности систем в целом.
2. Провести разъяснительную работу с работниками, которые пользуются служебным электронной почте, относительно правил и требований безопасности, особенно в части, касающейся входящих писем (сообщений).
3. Запретить открытие вложений в подозрительных сообщениях (письмах от адресатов, относительно авторства которых возникают сомнения, например: автор по неизвестным причинам сменил язык общения; тема письма является нетипичной для автора; образ, в котором автор обращается к адресату, является нетипичным и прочее; а также сообщениях с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или открытие подозрительных файлов - архивов, исполняемых файлов и т. п) и обязать пользователей служебной электронной почты немедленно сообщать о таких письмах администратору безопасности.
4. Обязать пользователей служебной электронной почты провести ее ревизию на предмет выявления писем, имеющих вложения «МоF critical ИТ needs_eng.xls», «Приложение №2.xls», запретив их открытия, и безотлагательно сообщать о наличии таких писем администратора безопасности.
5. Запретить использование частной электронной почты для целей служебной деятельности.
6. Запретить использование точек публичного доступа в Интернет для входа в служебной электронной почты.
Администраторам безопасности рекомендуется:
1. Свести к минимуму сетевую активность всех устройств систем управления с Интернет.
2. Принять меры к соблюдению требований по сегментированию (выделение административного VLAN, сегмента для серверов, отдельных сегментов для бухгалтерии и кадрового подразделения и тому подобное), не допускать циркуляции технологической информации за пределами административного сегмента сети.
3. Для организации удаленного доступа использовать только безопасные методы (например, такие технологические решения, как VPN).
4. Для предотвращения проведения атак типа Man-in-the-Middle с использованием техники ARP-spoofing принять меры по настройке статических значений ARP-таблиц АРМ и серверного оборудования. Для этого осуществить привязку МАС-адресов АРМ к конкретному интерфейсу коммутатора, этим самым запретив подключения сторонних устройств.
5. Предусмотреть мониторинг и фиксацию (журнала) событий, которые имеют отношение к информационной безопасности (доступ к базам данных, административный доступ к оборудованию и т. п).
6. Ввести политику, что требует использования только надежных паролей.
Под надежными паролями следует понимать такие, что:
- допускают использование не менее 8 символов;
- включают буквы, цифры и специальные символы;
- не содержат персональной информации (даты рождения своей и своих близких, номеров телефонов, номеров и серий документов, удостоверяющих личность, номеров собственного автотранспорта, банковской карточки, адреса регистрации и т. п);
- не используются в любых других аккаунтах.
7. Запретить использование паролей, что были установлены производителем оборудования «по умолчанию», провести проверку такого оборудования и в случае выявления нарушений привести его в соответствие с политики надежных паролей.
8. Провести рекомендованное производителем обновление программного обеспечения, чтобы предотвратить уже выявленные угрозы.
9. Контролировать создание аккаунтов на уровне администраторов системы.
10. Осуществить изменение авторизационных данных в критически важных узлов системы, предварительно проверив их на наличие процессов, которые могут скомпрометировать данные.
11. Проводить постоянный анализ входящего/исходящего Интернет - трафика.
12. Провести анализ лог-файлов сетевого и серверного оборудования на наличие в них сведений о аномальную активность (доступ к системе из систем, которые находятся вне административным сегментом сети; наличие нелегитимных авторизационных данных).
13. Осуществить проверку ПЭВМ администраторов сети и критически важных узлов системы на наличие подозрительных процессов и программ (например: системных служб, которые запускаются не из стандартного расположения; программ, не имеющих цифровой подписи производителя, и тому подобное).