Первоочередные меры по повышению защищенности ИТ-инфраструктуры

Рост числа кибератак требует незамедлительных шагов для усиления киберзащиты ИТ-инфраструктуры в отечественных компаниях. Мы составили чек-лист, который, помимо базовых шагов по повышению защищенности, также предлагает алгоритм действий для подготовки к отражению DDоS-атак и повышает готовность к прекращению поддержки продуктов компании Microsoft.

Автор: Тарас Дира, директор центра сервисов информационной безопасности STEP LOGIC

Базовые рекомендации ИБ

1. В кратчайшие сроки завершить все переходные процессы в ИТ-инфраструктуре. Минимизировать обновления, глобальные настройки.
2. Постараться достигнуть состояния максимальной стабильности инфраструктуры, необходимого уровня отказоустойчивости.
3. Перенести данные и сервисы из иностранных облачных систем на российские вычислительные ресурсы.
4. Сформировать ЗИП или заключить сервисный контракт для минимизации рисков простоя сервисов в случае выхода из строя оборудования, выбрав партнера с большим складом оборудования и запчастей.
5. При отсутствии технической поддержки со стороны производителя услугу может оказать сервисный партнер. Без участия производителя очевидны некоторые ограничения, тем не менее такой подход позволит минимизировать риски до приемлемого уровня как минимум на период миграции на другого производителя.
6. Провести аудит правил безопасности. Максимально ограничить доступ в сеть "Интернет" и из нее. Закрыть доступ всем решениям иностранного производства из вашей сети к серверам обновлений и лицензирования там, где это приемлемо, а также рассмотреть временное отключение обновлений софта до стабилизации ситуации. Рассмотреть вариант дополнительной установки отечественных межсетевых экранов на границе с Интернетом, повышая эшелонированность защиты.
7. Провести аудит настроек ИБ: проверить, на всех ли компонентах (как средств защиты информации, так и системного и прикладного ПО) включены доступные меры защиты (управление доступом, логирование, аутентификация, антивирусная защита и т.д.) и их настройки в соответствии с потребностями бизнес-процессов и рекомендациями производителей, а также стандартами безопасности (Hardening Guide).
8. Провести сканирование инфраструктуры на наличие открытых нелегитимных и уязвимых сервисов. Для объективного представления уровня защищенности важно дополнительно провести сканирование и из сети "Интернет".
9. Сменить пароли на оборудовании. Использовать только сложные пароли, не менее 12 знаков (с цифрами, буквами, верхним и нижним регистром).
10. С особым вниманием отнестись к защите удаленных пользователей, особенно администраторов: использовать двухфакторную аутентификацию, усилить защиту всех используемых протоколов удаленного доступа, включая RDP.
11. Провести резервирование данных и конфигураций для обеспечения возможности оперативного восстановления. Резервные копии безопаснее хранить в изолированной среде, недоступной из сети "Интернет", в том числе и на съемных носителях.
12. По возможности ограничить использование внешних ресурсов, API, загружаемых виджетов, сервисов, которые разработаны и хостятся иностранными организациями, например Google Analytics.
13. Внедрить сегментацию и микросегментацию для гранулярного контроля трафика, прежде всего ограничить доступ, в том числе для внутренних пользователей, к инфраструктурным сервисам: AD, SCCM, DNS и т.д.
14. Защитить ключевые сервисы соответствующими решениями. Например, в части защиты веб-приложений и серверов можно обеспечить фильтрацию трафика с помощью Web Application Firewall (WAF).
15. Сохранить на локальные ресурсы используемые программные модули, библиотеки и иные ресурсы, расположенные в иностранных репозиториях (GitHub).

Дополнительные рекомендации

1. Подготовиться к возможным DDoS-атакам, так как из-за ухода крупнейших поставщиков релевантных решений некоторые организации остались без защиты. Ограничить количество подключений (Rate Limit), попыток открытия новых сессий с одного ip-адреса, количество полуоткрытых соединений (Embryonic), а также внедрить географические ограничения.
2. Внедрить мониторинг инцидентов ИБ в вашей инфраструктуре как минимум в части самых критичных сервисов и приложений.
3. Усилить защиту электронной почты.
4. Проработать и протестировать планы на случай нештатных ситуаций (DRP), включая утерю данных и отключение ключевого оборудования.
5. Провести актуализацию моделей угроз и оценки рисков с целью переоценки вероятности угроз ИБ, связанных с рисками цепочек поставок, страновыми рисками и нарушением доступности и работоспособности. Пересмотреть и актуализировать меры, направленные на управление данными рисками.
6. Заблокировать трафик из других стран, если это уместно. Например, если ваши покупатели и целевая аудитория находятся исключительно в России.
7. Заблокировать трафик из сети TOR.
8. Внедрить практику контроля действий администраторов, что особенно важно, и пользователей. Рассмотреть возможность внедрения систем класса PAM.
9. Ограничить средствами прокси-сервера или контентной фильтрации доступ пользователей к информационным ресурсам сети "Интернет", ввести белый список ресурсов и сервисов.
10. Провести инструктажи с пользователями по тематике ИБ для повышения осведомленности об актуальных атаках и приемах нарушителей.

Рекомендации по продуктам Microsoft

1. Почтовая система на базе Microsoft Exchange:
   - настроить контентную фильтрацию для блокировки сообщений, содержащих потенциально опасные вложения с расширениями CMD, BAT, EXE, PS1, VBS, SCR, HTA;
   - активировать механизмы проверки подлинности домена-отправителя (DKIM, DMARC, SPF);
   - проверить актуальность баз антивирусных сигнатур Microsoft Exchange и обновить их при необходимости;
   - убедиться в отсутствии доступа к Exchange Admin Center (/ecp) из внешней и внутренней сети, организовать возможность доступа администраторов системы только с IP-адресов внутренней сети;
   - уведомить пользователей о правилах информационной безопасности при работе с внешними почтовыми сообщениями; l рассмотреть возможность внедрения механизма Data Loss Prevention, встроенного в Microsoft Exchange.
2. Сервер автоматических обновлений Windows Server Update Services (WSUS): в случае использования сервера обновлений WSUS выполнить блокировку загрузки любых обновлений ОС Windows и сопутствующих продуктов, выпущенных после 23.02.2022 г.
3. Active Directory Domain Services:
   - разработать и применить групповую политику по отключению службы "Центр обновления Windows" для всех серверов, клиентских ПК и ноутбуков, использующих ОС Windows;
   - убедиться в возможности использования доверенных российских вышестоящих DNS-серверов и реализовать ее.
4. Провести аудит лицензий Microsoft на предмет использования облачных версий. Разработать и внедрить политику отказа от использования облачных версий продуктов Microsoft. Осуществить переход на полностью локальные инсталляции версий продуктов Microsoft.
5. Проверить корректность выполнения заданий резервного копирования всех основных информационно-управляющих систем и сервисов и убедиться в их актуальности.