У кіберпросторі Україна постійно захищається від дедалі більш витончених кібератак. Зловмисники постійно вдосконалюють свої методи, адаптуються до нових реалій та активно використовують слабкі місця в інформаційних системах.
Урядова команда реагування на комп’ютерні надзвичайні події CERT-UA щодня працює над виявленням, аналізом і протидією кібератакам, захищаючи державні установи та критичну інфраструктуру країни.
Попри зростання складності атак, аналіз численних інцидентів, які сталися протягом останніх років, доводить, що типові помилки, яких припускаються організації, залишаються незмінними. Саме вони найчастіше стають причиною успішних дій зловмисників, тому пропонуємо ще раз звернути на них увагу.
CERT-UA визначила кілька основних векторів, через які відбувається успішне проникнення в інформаційні системи:
- Відомі вразливості. Часто ігнорується оновлення програмного забезпечення публічно доступних ресурсів, таких як вебсайт, поштовий сервер тощо.
- Скомпрометовані облікові записи. Облікові дані можуть бути викрадені шкідливими програмами чи «надані» користувачами, які ввели їх на фішингових сторінках. За відсутності багатофакторної автентифікації зловмисники зможуть отримати доступ до пошти, VPN чи іншої системи, акаунт якої було скомпрометовано.
- Спір-фішинг. Відсутність навчання співробітників і недостатня увага до перевірки електронних листів сприяють успішним атакам.
- Самоінфікування. Використання піратського програмного забезпечення створює значні ризики.
На основі аналізу CERT-UA були визначені основні слабкі місця, які залишають підприємства вразливими до атак:
- Відсутність багатофакторної автентифікації (2FA). Це дозволяє зловмисникам легко використовувати викрадені логіни та паролі для доступу до систем.
- Недостатній захист віддаленого доступу. Віддалений доступ (наприклад, RDP) і особливо доступ до інтерфейсів адміністрування серверного та мережевого обладнання має бути дозволений для конкретних користувачів з визначених робочих місць (IP-адрес).
- Відсутність «демілітаризованої» зони (DMZ). Інтернет-доступні сервіси, такі як поштові сервери або вебдодатки, часто не ізольовані від основної мережі, що дає змогу розвивати атаку вглиб мережі.
- Недостатній контроль програмного забезпечення. Для виконання шкідливого коду хакери часто використовують стандартні утиліти, такі як PowerShell або mshta.exe. Необхідно обмежити можливість запуску таких утиліт користувачами.
- Недостатній обсяг лог-файлів. Якщо кіберінцидент все ж таки стався, інколи даних для його дослідження не вистачає через те, що журнальні файли зберігались протягом короткого проміжку часу.
Щоб уникнути подібних помилок, CERT-UA рекомендує організаціям:
- Перевіряти поверхню атаки. Використовуйте інструменти, такі як censys.io, shodan.io або Nmap, щоб виявити відкриті мережеві порти.
- Впроваджувати багатофакторну автентифікацію, особливо для доступу до VPN і корпоративної пошти.
- Ізолювати системи, які доступні з мережі Інтернет. Забезпечте ізоляцію інтернет-додатків, щоб компрометація одного компонента не дала можливості розвинути атаку вглиб мережі.
- Фільтрувати вихідний трафік. Використовуйте міжмережевий екран (проксі-сервер) для контролю вихідних мережевих зʼєднань.
- Розширити обсяг логів. Налаштуйте журнали подій для зберігання даних щонайменше на 180-360 діб.
- Контролювати програми, що використовуються. Дозволяйте використання лише необхідних програм, в тому числі системних утиліт.
- Забезпечити готовність до ізоляції мережі. Розробіть план реагування на випадок необхідності ізоляції сегментів мережі.
CERT-UA нагадує про важливість налагодження оперативної взаємодії. Організації, які потребують допомоги у впровадженні заходів кіберзахисту, можуть звернутися за контактами:
CERT-UA:
Щодо інцидентів у відповідних секторах також можуть допомогти:
ЗСУ:
СБУ:
НБУ:
Будьте пильними та пам’ятайте: надійний кіберзахист — не лише технології, але й відповідальна поведінка всієї організації.
За інформацією Держспецзв'язку