Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Как усилить защиту сайтов от кибератак

16.02.2024

В последние два года кибератаки на сайты и инфраструктуру российских компаний стали серьезнейшей проблемой. Значительно выросло количества DDoS-атак (отказ в обслуживании), произошел массовый дефейс веб-сайтов (замена главной страницы на другую), участились случаи внедрения вредоносного ПО. Компания-разработчик универсального шлюза безопасности Traffic Inspector Next Generation Смарт-Софт подробно рассказывает, как защитить сайты от кибератак. 

Хактивисты (политически мотивированные хакеры) в качестве целей выбирают предприятия, относящиеся к КИИ, ведущие российские СМИ и крупнейшие медиахолдинги. Например, 21 февраля 2023 года злоумышленники провели DDoS-атаку на сервисы медиахолдинга ВГТРК во время трансляции послания президента России Владимира Путина Федеральному собранию.

Чтобы обеспечить доступность и стабильную работу критически важных интернет-сервисов и информационной инфраструктуры, требовалось срочно повысить уровень готовности к атакам, а для этого выполнить множество организационных и технических мероприятий. Привыкшие к относительно спокойному существованию в киберсреде, ИТ-подразделения оперативно получили рекомендации по усилению защиты своих веб-ресурсов в связи с хакерскими атаками зарубежных группировок.

СМИ сообщают, что документ был направлен 28 февраля 2022 года госорганам и другим организациям «по списку рассылки» от имени ФСТЭК. В документе описаны различные меры по усилению защиты сайтов, но не приведены конкретные «рецепты» для их реализации. 

Аналогичные требования к безопасности сайтов, подготовленные на базе рекомендаций ФСТЭК, содержатся в Приказе Минэкономразвития № 67 от 18.02.2022 года «О государственной информационной системе “Экономика”».

Рассмотрим наиболее важные требования из списка ФСТЭК/Минэкономразвития.

Обновления ПО

Первая рекомендация состоит в том, чтобы проводить регулярные обновления программного обеспечения веб-сайта, включая ОС, веб-сервер, СУБД, CMS и библиотеки. Рекомендация относится к разряду обязательных, поскольку уязвимости — один из главных векторов атак. 

К сожалению, ситуация не позволяет «включить автообновление» и наслаждаться жизнью, особенно если на сайте используется ПО с открытым исходным кодом. Некоторые из разработчиков настолько ударились в политику, что добавили в свой код вредоносную функциональность, нацеленную на системы в России и Белоруссии. Так, например, поступил разработчик популярного NPM-пакета node-ipc. Он добавил в пакет код, который уничтожал все доступные файлы на системах с российскими и белорусскими IP-адресами. 

Масштаб последствий можно представить, если вспомнить, что node-ipc является частью 354 пакетов, среди которых фреймворк, который скачивают более миллиона раз в неделю.

Подобные инциденты всегда были источником головной боли для ИБ-специалистов, однако сейчас такое происходит значительно чаще из-за действий хактивистов. 

Еще одна связанная с обновлениями проблема состоит в том, что главным источником кода является GitHub, принадлежащий Microsoft. С 13 до 15 апреля 2022 года десятки учетных записей российских разработчиков на GitHub были заблокированы, причем большая их часть принадлежала компаниям, попавшим под санкции США. 

Таким образом, обновлять ПО на веб-сайтах нужно обязательно, однако следует дополнить процесс тщательной проверкой безопасности новых версий на вредоносность и предусмотреть альтернативные способы получения обновленных пакетов и библиотек на случай блокировки.

Защищенные протоколы

Под защищенными протоколами авторы документа понимают HTTPS, SSH и другие протоколы с шифрованием. В условиях, когда все сайты в интернете перешли на использование HTTPS, а браузеры отображают HTTP-сайты как небезопасные, может показаться, что эти рекомендации несколько избыточны.

К сожалению, несмотря на видимый прогресс в части перехода на протоколы с шифрованием, до сих пор можно встретить системы, к которым можно подключиться с помощью telnet или ftp, потому что администраторы банально забыли закрыть эти порты для доступа из интернета. 

В части тотального HTTPS тоже все непросто. Вскоре после начала СВО в России и Белоруссии перестали работать компании, которые выдают SSL-сертификаты для сайтов — GeoTrust, Sectigo, DigiCert, Thawte и Rapid. Прекратив работу, они отозвали выданные сертификаты, в результате чего множество российских сайтов стали «небезопасными». 

В числе пострадавших оказался, например, ЦБ РФ, у которого 1 марта хостинг-провайдер DigiCert (США) отозвал сертификат. В этот же день аналогичная ситуация произошла с сайтом банка ВТБ. Из-за отозванного Thawte Consulting (ЮАР) SSL-сертификата невозможно было выполнить платежи, а сам сайт отображался в браузере как небезопасный.

Для решения проблемы с сертификатами в марте 2022 года была организована бесплатная выдача SSL-сертификатов юридическим лицам через портал Госуслуг. Но у этих сертификатов есть проблема: они работают только в браузерах, которые поддерживают сертификаты российского удостоверяющего центра, то есть в Яндекс.Браузере, Спутнике и Атоме. Чтобы сертификаты признавались в привычных Chrome, Firefox и Safari, нужно установить корневой сертификат российского УЦ вручную. 

Подводя итог по использованию защищенных сетевых протоколов с шифрованием, следует отметить, что решение проблемы весьма неоднородно и требует принципиально разных подходов: если запрет небезопасных telnet и ftp, передающих пароли открытым текстом, реализовать достаточно просто, например, с помощью настроек UTM-файрвола, то ситуация с SSL-сертификатами пока находится в стадии проработки. Во всяком случае, единства нет даже среди ведущих финансовых институтов страны: по состоянию на конец января 2024 года сайты ВТБ и ЦБ РФ используют сертификаты GlobalSign, в то время как Сбер перешел на сертификат Минцифры. 

 

 

Фильтрация трафика

Одна из самых эффективных мер противодействия атакам — это фильтрация вредоносного трафика. Авторы требований по безопасности сайтов предлагают выполнять ее по нескольким направлениям. 

Первое направление — ограничить все внешние подключения к интерфейсам управления систем управления сайтами, базами данных и т. п. Открытыми предлагается оставить порты 443/TCP и 80/TCP с принудительным перенаправлением на 443/TCP с HTTPS. 

Если добавить к этому фильтрацию IP-адресов по белому списку или вообще разрешить доступ к интерфейсу администратора только «изнутри», то есть через подключение к внутреннему VPN-серверу, защиту от подключения посторонних можно считать высоконадежной. Главное — избегать использования уязвимых VPN¬-серверов, своевременно обновляя их до безопасных версий. Например, в 2023 году были обнаружены уязвимости в VPN-решениях OpenVPN, SoftEther VPN, Cisco NetScaler и других. 

Второе направление фильтрации — это защита уровня приложений (Layer 7). Реализовать такую защиту предлагается с использованием WAF в режиме противодействия атакам. 

Третье направление фильтрации — защита от DDoS-атак. Конкретных рекомендаций по защите в документе не приводится, поэтому сформулируем меры, которые могут помочь защититься от этого вида вредоносного воздействия: 

  1. Ограничение количества запросов с одного IP-адреса (rate-limit по количеству запросов в секунду).
  2. Ограничение трафика с одного IP-адреса по объему. 
  3. Фильтрация «мусорного» трафика, в том числе пакетов с неправильными комбинациями флагов, неверным номером последовательности (sequence number) и т.п.
  4. Геоблокировка по IP-адресу.
  5. Блокировка по базам прокси и ботнетов от систем коллективного иммунитета, подобных CrowdSec. 
  6. Кэширование статического контента.

Не менее важным направлением фильтрации является проверка потока данных на предмет вредоносных скриптов и шпионского контента. 

Заключение

Обострение обстановки в киберпространстве требует более внимательного отношения к укреплению периметра. Главная задача — выработать и реализовать комплекс необходимых и достаточных мер для защиты инфраструктуры, а также дождаться принятия законодательных актов, регулирующих принципиальные вопросы коллективного взаимодействия в части использования протоколов, сертификатов и других существенных компонентов инфраструктуры. 

В качестве технического компонента защиты целесообразно рассматривать комплексное решение, например, многофункциональный UTM-шлюз с мощными возможностями управления трафиком, в том числе фильтрации, интеграции с антивирусами и базами данных вредоносных адресов, а также защиты от DDoS-атак. Важно, чтобы этот шлюз, как и остальные компоненты защиты, был российского производства, особенно если речь идет о сайтах, относящихся к КИИ и государственным организациям. 

Смарт-Софт предлагает в качестве такого решения свою флагманскую разработку – универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation. Продукт предназначен для защиты корпоративных компьютерных сетей от внешних киберугроз и организации контролируемого доступа пользователей в интернет. Имеет как программно-аппаратное, так и виртуальное исполнение, входит в реестр российского ПО и сертифицирован ФСТЭК по требованиям к межсетевым экранам и системам обнаружения вторжений. Перед приобретением Traffic Inspector Next Generation можно протестировать в своей инфраструктуре бесплатно в течение месяца.

Softline имеет обширный портфель продуктов в области информационной безопасности – подробнее с решениями можно ознакомиться по ссылке. Чтобы узнать больше о продуктах и услугах Смарт-Софт, свяжитесь с Николаем Спирихиным nikolay.spirikhin@softline.com

Теги:

Новости, истории и события
Смотреть все
Платформа ИТ-сертификации «СЛМетрикс» от Академии Softline получила аккредитацию АПКИТ
Новости

Платформа ИТ-сертификации «СЛМетрикс» от Академии Softline получила аккредитацию АПКИТ

26.12.2024

SL Soft (ГК Softline) представила новую версию модуля «Электронный наряд-допуск» платформы Visitech
Новости

SL Soft (ГК Softline) представила новую версию модуля «Электронный наряд-допуск» платформы Visitech

26.12.2024

Система MD Audit от SL Soft (ГК Softline) помогла «Саратовской кондитерской мануфактуре» снизить процент брака на 80%
Новости

Система MD Audit от SL Soft (ГК Softline) помогла «Саратовской кондитерской мануфактуре» снизить процент брака на 80%

25.12.2024

SL Soft (ГК Softline) и Московский венчурный фонд инвестировали 100 млн рублей в ИТ-платформу «Цитрос»
Новости

SL Soft (ГК Softline) и Московский венчурный фонд инвестировали 100 млн рублей в ИТ-платформу «Цитрос»

25.12.2024

HCM-система «БОСС» от компании SL Soft (ГК Softline) внесена в реестр российского ПО
Новости

HCM-система «БОСС» от компании SL Soft (ГК Softline) внесена в реестр российского ПО

24.12.2024

Академия Softline запустила комплексное решение для корпоративного обучения «Стадия»
Новости

Академия Softline запустила комплексное решение для корпоративного обучения «Стадия»

24.12.2024

«Инферит Облако» и «Телеком биржа» назвали 3 популярных запроса клиентов
Новости

«Инферит Облако» и «Телеком биржа» назвали 3 популярных запроса клиентов

23.12.2024

«Девелоника» (ГК Softline) помогла компании МТС перейти на ЭЦП в системе электронного документооборота
Новости

«Девелоника» (ГК Softline) помогла компании МТС перейти на ЭЦП в системе электронного документооборота

23.12.2024

ПАО «Софтлайн» прогнозирует двузначные темпы роста бизнеса в 2025 году и подтверждает ожидания по 2024 году
Новости

ПАО «Софтлайн» прогнозирует двузначные темпы роста бизнеса в 2025 году и подтверждает ожидания по 2024 году

23.12.2024

ГК Softline и «ИТ-ГУРУ» объединяют усилия для продвижения интеграционной шины данных
Новости

ГК Softline и «ИТ-ГУРУ» объединяют усилия для продвижения интеграционной шины данных

20.12.2024

ОС «МСВСфера» (ГК Softline) теперь доступна в облачной платформе «Яндекс.Cloud»
Новости

ОС «МСВСфера» (ГК Softline) теперь доступна в облачной платформе «Яндекс.Cloud»

19.12.2024

ГК Softline обеспечила банку из топ-10 переход на облачную платформу Softline Universe (SLU)
Новости

ГК Softline обеспечила банку из топ-10 переход на облачную платформу Softline Universe (SLU)

19.12.2024

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена
Новости

ПАО «Софтлайн» информирует участников обмена ГДР Noventiq о приближающейся дате фиксации реестра акционеров по третьему этапу обмена

19.12.2024

SL Soft (ГК Softline) выпустила новый релиз бизнес-платформы Polymatica ЕРМ
Новости

SL Soft (ГК Softline) выпустила новый релиз бизнес-платформы Polymatica ЕРМ

18.12.2024

ГК Softline стала партнером года F.A.C.C.T. по объему продаж
Новости

ГК Softline стала партнером года F.A.C.C.T. по объему продаж

18.12.2024

Защиту ИТ-инфраструктуры провайдера «Инферит Облако» (ГК Softline) усилили с помощью BI.ZONE TDR
Новости

Защиту ИТ-инфраструктуры провайдера «Инферит Облако» (ГК Softline) усилили с помощью BI.ZONE TDR

17.12.2024

Детский онлайн-лагерь «Наша безопасность» Академии Softline получил Гран-при премии «СМАРТ пирамида – 2024»
Новости

Детский онлайн-лагерь «Наша безопасность» Академии Softline получил Гран-при премии «СМАРТ пирамида – 2024»

17.12.2024

Bell Integrator (ГК Softline) стала партнером Форума инновационных центров
Новости

Bell Integrator (ГК Softline) стала партнером Форума инновационных центров

17.12.2024

Елена Типисова (ГК Softline): «2024-й год стал годом вызовов и возможностей для ИТ-отрасли, заложив фундамент для дальнейшего развития»
Блог

Елена Типисова (ГК Softline): «2024-й год стал годом вызовов и возможностей для ИТ-отрасли, заложив фундамент для дальнейшего развития»

20.12.2024

Кибербезопасность от А до Я
Блог

Кибербезопасность от А до Я

20.12.2024

Мурад Мирзоев, «Инферит»: В рамках бизнес группы Softline мы испытываем здоровую конкуренцию
Блог

Мурад Мирзоев, «Инферит»: В рамках бизнес группы Softline мы испытываем здоровую конкуренцию

20.12.2024

Пилотные проекты по переходу на российское ПО
Блог

Пилотные проекты по переходу на российское ПО

18.12.2024

Вместе эффективнее: как объединение крупных игроков ИТ-рынка помогает цифровизации промышленного сектора
Блог

Вместе эффективнее: как объединение крупных игроков ИТ-рынка помогает цифровизации промышленного сектора

18.12.2024

Как эмоциональный интеллект помогает строить карьеру
Блог

Как эмоциональный интеллект помогает строить карьеру

17.12.2024

4 совета джуну, который хочет построить карьеру в ИТ
Блог

4 совета джуну, который хочет построить карьеру в ИТ

17.12.2024

Как построить карьеру в информационной безопасности
Блог

Как построить карьеру в информационной безопасности

17.12.2024

Как построить карьеру в крупной компании: краткий гайд
Блог

Как построить карьеру в крупной компании: краткий гайд

17.12.2024

Шире или глубже: как строить ИТ-карьеру
Блог

Шире или глубже: как строить ИТ-карьеру

17.12.2024

Как запомниться работодателю и получить работу мечты
Блог

Как запомниться работодателю и получить работу мечты

17.12.2024

В ИТ сразу после вуза: гайд по старту карьеры
Блог

В ИТ сразу после вуза: гайд по старту карьеры

17.12.2024

Как студенту начать карьеру в ИТ-компании
Блог

Как студенту начать карьеру в ИТ-компании

17.12.2024

Новые штрафы за утечку персональных данных: как подготовиться к изменениям
Блог

Новые штрафы за утечку персональных данных: как подготовиться к изменениям

13.12.2024

Цифровизация госсектора: роль заказной разработки в достижении целей
Блог

Цифровизация госсектора: роль заказной разработки в достижении целей

12.12.2024

Александр Рожков (ГК Softline): «Наша цель — стать проводником для российских ИТ-производителей при выходе на новые для них международные рынки»
Блог

Александр Рожков (ГК Softline): «Наша цель — стать проводником для российских ИТ-производителей при выходе на новые для них международные рынки»

10.12.2024

Российские суперкомпьютеры для искусственного интеллекта
Блог

Российские суперкомпьютеры для искусственного интеллекта

06.12.2024

Умные каски Proteqta выходят на рынок Казахстана и ОАЭ
Блог

Умные каски Proteqta выходят на рынок Казахстана и ОАЭ

03.12.2024