Урядова команда CERT проаналізувала кібератаки за останні роки та виявила, що типові помилки підприємств та організацій залишаються незмінними. Саме ці помилки найчастіше стають причиною успішних кібератак, кажуть фахівці.
Ось кілька основних векторів, через які злочинці проникають в інформаційні системи.
- Відомі вразливості. Часто ігнорується оновлення програмного забезпечення публічно доступних ресурсів, таких як вебсайт, поштовий сервер тощо.
- Скомпрометовані облікові записи. Облікові дані можуть бути викрадені шкідливими програмами чи «надані» користувачами, які ввели їх на фішингових сторінках. За відсутності багатофакторної автентифікації зловмисники зможуть отримати доступ до пошти, VPN чи іншої системи, акаунт якої було скомпрометовано.
- Спір-фішинг. Відсутність навчання співробітників і недостатня увага до перевірки електронних листів сприяють успішним атакам.
- Самоінфікування. Використання піратського програмного забезпечення створює значні ризики.
На основі аналізу CERT-UA назвали такі слабкі місця, які залишають підприємства вразливими до атак:
- Відсутність багатофакторної автентифікації (2FA). Це дозволяє зловмисникам легко використовувати викрадені логіни та паролі для доступу до систем.
- Недостатній захист віддаленого доступу. Віддалений доступ (наприклад, RDP) та особливо доступ до інтерфейсів адміністрування серверного та мережевого обладнання має бути дозволений для конкретних користувачів із визначених робочих місць (IP-адрес).
- Відсутність «демілітаризованої» зони (DMZ). Доступні в інтернеті сервіси, такі як поштові сервери або вебдодатки, часто не ізольовані від основної мережі, що дає змогу розвивати атаку вглиб мережі.
- Недостатній контроль програмного забезпечення. Для виконання шкідливого коду хакери часто використовують стандартні утиліти, такі як PowerShell або mshta.exe. Необхідно обмежити можливість запуску таких утиліт користувачами.
- Недостатній обсяг лог-файлів. Якщо кіберінцидент все ж таки стався, інколи даних для його дослідження не вистачає через те, що журнальні файли зберігались протягом короткого проміжку часу.
Щоб уникнути помилок, CERT-UA рекомендує:
- Перевіряти поверхню атаки. Використовуйте інструменти, такі як censys.io, shodan.io або Nmap, щоб виявити відкриті мережеві порти.
- Впроваджувати багатофакторну автентифікацію, особливо для доступу до VPN і корпоративної пошти.
- Ізолювати системи, які доступні в інтернеті. Забезпечте ізоляцію інтернет-додатків, щоб компрометація одного компонента не дала можливості розвинути атаку вглиб мережі.
- Фільтрувати вихідний трафік. Використовуйте міжмережевий екран (проксі-сервер) для контролю вихідних мережевих зʼєднань.
- Розширити обсяг логів. Налаштуйте журнали подій для зберігання даних щонайменше на 180–360 діб.
- Контролювати програми, що використовуються. Дозволяйте використання лише необхідних програм, зокрема системних утиліт.
- Забезпечити готовність до ізоляції мережі. Розробіть план реагування на випадок необхідності ізоляції сегментів мережі.
Нагадаємо, торік CERT-UA опрацювали 4315 кіберінцидентів. Це на 69,8% більше, ніж у 2023 році: тоді кіберзлочинці атакували український кіберпростір 2541 раз.
