Державна служба спеціального зв'язку та захисту інформації України розповідає, що підсистема Оперативного центру реагування на кіберінциденти Державного центру кіберзахисту Держспецзв’язку (ДЦКЗ Держспецзв’язку) є центральною складовою системи виявлення вразливостей і реагування на кіберінциденти та кібератаки.
Вона забезпечує централізований збір та накопичення інформації про мережеві події інформаційної безпеки, централізоване управління усіма підсистемами системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, а також проводить моніторинг та обробку в режимі реального часу кіберзагроз і кіберінцидентів.
З-поміж усіх видів вразливостей, виявлених внаслідок моніторингу, можна виокремити найбільш поширені, якими користуються зловмисники для атак на інформаційно-комунікаційні системи.
Фахівці ДЦКЗ Держспецзв’язку виділили 5 таких вразливостей та дали рекомендації, як їх усунути.
1. Найпоширенішою виявленою вразливістю є використання застарілих (вразливих) операційних систем та програмного забезпечення.
Фахівці радять регулярно оновлювати операційні системи та програмне забезпечення до останніх версій, оскільки це може значно покращити швидкість та ефективність роботи програм. При цьому оновлюється і система безпеки.
Також варто відмовитися від використання програмного забезпечення, що не підтримується виробником, застосувати мікросегментацію (техніку, яка забезпечує детальний контроль над мережевим трафіком, розділяючи його на менші, ізольовані сегменти) та обмежити доступ до систем, регулярне оновлення яких є проблематичним.
2. Надмірна кількість відкритих сервісів на АРМ (Application Performance Monitoring – Моніторинг продуктивності додатків) та серверах, використання яких не обумовлено виробничою необхідністю.
Для усунення цієї вразливості фахівці радять провести аудит відкритих портів для виявлення незахищених сервісів та закрити всі невикористовувані порти і служби.
Також варто використовувати брандмауер (Firewall) для обмеження доступу лише для дозволених IP-адрес, впровадити список дозволених сервісів (whitelist) та заблокувати всі інші.
3. Недоліки у налаштуваннях мережевого обладнання, в тому числі відсутність належно налаштованих списків контролю доступу.
Порушення контролю доступу – ситуації, коли користувачі отримують доступ до ресурсів або функцій, не маючи на це відповідних прав.
Для виправлення цієї вразливості спеціалісти радять використовувати список контролю доступу (ACL) для обмеження міжмережевої взаємодії, відокремити критичні сервіси в окремі віртуальні локальні комп’ютерні мережі (VLAN) або захищені зони.
Також радять впровадити DMZ (Demilitarized Zones) для сервісів, які доступні з мережі Інтернет, та моніторинг трафіка для виявлення підозрілої активності. А ще застосувати фільтрацію MAC-адрес (адрес керування доступом до середовища) або 802.1X аутентифікацію (протокол контролю доступу клієнт-сервер, що дозволяє встановлювати автентичність та забороняє підключатись до локальної мережі через загальнодоступні порти комутатора).
4. Недотримання вимог кібергігієни.
Дотримання базових правил кібергігієни допомагає захистити пристрій користувача від ураження шкідливим програмним забезпеченням та можливого викрадення конфіденційної інформації.
У цьому випадку фахівці наголошують на необхідності впровадження політики складних паролів – пароль має складатися з мінімум 12 символів та змінюватися кожні 90 днів.
Також радять використовувати спеціалізовані менеджери паролів і заборонити зберігання паролів у відкритому вигляді, регулярно проводити тренінги з кібербезпеки, не допускати зберігання файлів уніфікованого електронного підпису на незахищених носіях інформації.
5. Особливості використання віддаленого доступу.
Віддалений доступ дозволяє користувачу отримувати доступ до систем і даних та керувати ними завдяки підключенню до комп’ютера або мережі з іншого місця. При цьому треба дотримуватися порад фахівців, аби не стати жертвою зловмисників під час використання віддаленого доступу.
Зокрема, використовувати VPN (віртуальна приватна мережа) виключно зі стійкими алгоритмами шифрування.
Впровадити двофакторну автентифікацію для доступу до критичних ресурсів та встановити обмеження доступу за IP-адресами, а також вимкнути віддалений доступ для облікових записів з правами адміністратора.
Державні установи, які хочуть посилити свій кіберзахист та отримати доступ до сервісів Системи виявлення вразливостей (СВВ), можуть звернутися до ДЦКЗ Держспецзв’язку. У межах функціонування СВВ доступні три основні сервіси: мережеві сенсори (NDR), сенсори захисту кінцевих точок (EDR) та управління поверхнею атаки (ASM). Кожен із цих сервісів може бути налаштований відповідно до потреб конкретної установи.