НКЦКИ: Не нужно бояться взаимодействовать, приходить, общаться — опыт прошлого года показал, что одному не справиться

С отчетом о работе Национального координационного центра по компьютерным инцидентам (НКЦКИ) на прошедшем в Магнитогорске форуме «Цифровая устойчивость и информационная безопасность в России» выступил Алексей Ицков.

Он отметил, что с начала специальной военной операции, в течение всего 2022 года организации и регуляторы столкнулись с испытаниями на прочность. На реальных объектах реализовывались все атаки, которые ранее отрабатывались в процессе ведомственных и отраслевых учений.

Возглавляет рейтинг компьютерных инцидентов в информационных ресурсах России фишинг. НКЦКИ снял с делегирования 4115 ресурсов в доменных зонах ru, su, рф. Большая часть этих ресурсов была направлена на имитирование сайтов госорганов и предприятий.

За фишингом следует вредоносное ПО. Выявлено 830 зарегистрированных инцидентов с заражением вредоносным программным обеспечением (ВПО). Обычно результатами реагирования на такой инцидент становилось банальное удаление вредоноса, никто не интересовался, как и почему произошло заражение. Опыт показывает, что наличие ВПО может иметь более тяжелые последствия. Операторы ботнетов нередко продают доступ к таким зараженным ресурсам хакерским группировкам.

В 2022 г. зарегистрирован большой объем DDoS-атак, которые стали прикрытие иных воздействий. 182 инцидента были связаны с замедлением работы ресурсов. Как показали расследования инцидентов, не все организации имеют техническую оснащенность для блокировки DDoS-атак. НКЦКИ совместно с Роскомнадзором применили технические средства противодействия угрозам для фильтрации трафика на пограничных переходах для блокировки атак уровня OSI.

Еще один распространенный вид атак — взлом сервисов, доступных на периметре. На них приходится почти половина всех атак. Многие организации уже начали понимать проблемы уязвимости ПО, особенно на внешних сервисах. Однако дальше этого понимания дело не сдвинулось. Треть организаций имеют проблемы с закрытием уязвимостей. Причины этого часто кроются в низкой квалификации сотрудников. Ицков привел набивший оскомину пример незакрытой уязвимости серверов Exchange, патч для которой был выпущен два года назад. В российском сегменте Интернета находится более 100 таких серверов. Несмотря на обращения и указания регулятора, проблема с закрытием уязвимости не решается.

По данным НКЦКИ в 2022 году выявлено компрометаций уязвимостей — 297 инцидентов, уязвимости успешно эксплуатировались в 77 случаях. За 2022 год НКЦКИ разослало 973 бюллетеня об уязвимостях и угрозах безопасности в адрес субъектов ГосСОПКА.

Еще одна причина взломов — теневой ИТ. Это и ненадлежащая организация удаленной работы в период пандемии, и самостоятельное внедрение сотрудниками новых и небезопасных ИТ-решений.

Большой проблемой становятся забытые и неучтенные серверы, сервисы и бизнес-процессы (колл-центры, серверы видеонаблюдения и т. д.), на которые по тем или иным причинам не были установлены обновления. Вносит вклад в проблемы и текучка кадров.

Теневой ИТ искоренить не получится, он будет существовать пока это выгодно сотрудникам, считает Алексей Ицков. Для решения таких проблем необходимо четко сформулировать и закрепить ИТ-политику организации, сформулировать отношение к несанкционированным ИТ средствам. ИТ-политика должна быть гибкой, слышать потребителей и уметь договариваться с ними о внедрении новых решений. Также для решения проблемы теневого ИТ необходимо провести инвентаризацию всех ИТ активов (серверов, сервисов и ресурсов, в т. ч. забытых страниц промо-акций).

Еще один популярный вид атак — атаки через подрядчиков. За прошедший год в России произошло двукратное увеличение таких инцидентов.

Наглядным примером такой атаки стал инцидент с одной из подрядных организаций, которая в инициативном порядке обратилась в НКЦКИ. Злоумышленник проник в сеть организации через уязвимость на видеосервере, компрометировал контроллер домена и прошел по сети, где собрал все разработки компании за последние четыре года. Неизвестный провел в сети шесть месяцев, за это время подрядчик вел работы по проектам КИИ, в т. ч. с удаленным подключением к инфраструктуре заказчиков. При уходе, злоумышленник стер следы своего пребывания и зашифровал данные подрядчика. Тот смог восстановить с помощью бэкапа, с откатом на полгода назад.

Таким образом, произошли компрометация данных о более 50 объектах за последние четыре года, уничтожение инфраструктуры подрядчика и нанесение репутационного и экономического ущерба организации.

Причинами инцидента стали отсутствие корпоративной ИТ-политики, отсутствие обновлений, многофакторной аутенцификации, ограничений доступа к серверам резервного копирования и отсутствие разграничения прав доступа.

Однако решение подрядчика об обращении в НКЦКИ заслуживает уважения, считает Алексей Ицков. Расследование инцидента позволило понять вектор устремленности злоумышленника и интересующий его сектор экономики. Анализ полученных материалов, выполненных подрядчиком работ на объектах КИИ, позволил провести проверку компаний-заказчиков. Инцидент был вынесен на уровень министерства.

«Не нужно бояться взаимодействовать, приходить, общаться. Мы созданы для того, чтобы помогать и защищать, — отметил Алексей Ицков. — Опыт прошлого года показал, что одному не справиться».

2 марта, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.05.2024
ЛК: Нежелание персонала соблюдать правила ИБ открывает дверь хакерам
17.05.2024
«Тинькофф Банк» приходит третьим в QR-зачёте
17.05.2024
Тянет на срок. ВТБ — о новой мошеннической схеме с «пластиком»
17.05.2024
Microsoft всё же начала отключать корпоративную Россию от «облаков»
16.05.2024
ИБ и ЕГЭ. Почему каждому абитуриенту нужно быть немного безопасником
16.05.2024
Продажа «симок» через «Госключ» и «Почту России». Что ещё в пакете?
16.05.2024
Ещё два российских финсервиса поделятся данными с властями
16.05.2024
В Британии запустили открытую платформу для тестирования ИИ
16.05.2024
Клиентов хостинг-провайдеров идентифицируют через «Госуслуги»
15.05.2024
«Важно выстроить единую систему подготовки кадров в области ИБ-образования»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных