Архив метки: DDoS

На прошлой неделе, 16 марта, прошло весьма интересное VM-ное мероприятие

Добавить комментарий

На прошлой неделе, 16 марта, прошло весьма интересное VM-ное мероприятие

На прошлой неделе, 16 марта, прошло весьма интересное VM-ное мероприятие - заседание совета по развитию цифровой экономики при Совете Федерации (секция по обеспечению технологического суверенитета и ИБ РФ) по теме "О мерах по снижению количества уязвимостей в публично доступной ИТ-инфраструктуре и отечественном программном обеспечении, также о повышении защищенности КИИ". На ВК Видео доступна двухчасовая запись. Задачей заседания было сформировать единую позицию по трём направлениям работы с уязвимостями, собрать единый протокол, чтобы дальше направить письма в органы и заниматься либо нормативным регулированием, либо оказывать помощь в устранении уязвимостей "в узких местах".

Первый доклад был от начальника отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации Генеральной прокуратуры Олега Кипкаева. Приведу его содержание.

Олег Вячеславович сообщил, что в Рунете функционируют ~70 млн. сервисов, более половины исследованных хостов содержат нарушения базовых требований информационной безопасности. "Практика показывает, что в основе многих инцидентов лежат не какие-то исключительные обстоятельства, а несвоевременное обновление программного обеспечения, использование уязвимых версий сервисов, слабая парольная политика, открытый доступ к административным интерфейсам, отсутствие необходимых средств защиты, иные известные недостатки в настройке и эксплуатации информационных систем". Уязвимость внешнего цифрового периметра не проблема конкретной организации, а вопрос общей устойчивости цифрового пространства. Количество кибер-атак на отечественные организации продолжает расти, их цель нанесение существенного вреда. Необходимы упреждающие действия со стороны государства, регуляторов, правоохранительных органов и владельцев информационных систем. Правовая основа для работы создана: законодательство о безопасности КИИ, решение президента РФ, обязательные требования в сфере защиты информации, функционируют механизмы выявления/предупреждения/ликвидации последствий компьютерных атак. Но есть проблемы:

🔻 Во многих случаях меры по устранению уязвимостей применяются несвоевременно. "Регулирование нередко начинается уже после инцидента, после поступления информации о критической уязвимости, либо после вмешательства уполномоченных органов".

🔻 Не во всех организациях реализован надлежащий учёт собственного внешнего цифрового периметра. "Руководители не всегда располагают информацией о том, какие именно сервисы выделены в сети Интернет, в каком они состоянии находятся и какие риски создают".

🔻 Сохраняется разрыв между установленными требованиями и фактическим уровнем защищённости. "Результаты обследования ЗоКИИ свидетельствуют о многочисленных нарушениях обязательных требований в сфере защиты информации". Во многих организациях минимально необходимый уровень защищённости до настоящего момента не обеспечен.

Требуются дополнительные меры организационного, правового и практического характера. Следует сосредоточить внимание на следующих направлениях:

🔹 Необходимо обеспечить системную работу по выявлению, учёту и обязательному устранению критических уязвимостей в установленные сроки. Эта деятельность должна вестись на постоянной основе по единым критериям и чётким определением опасности выявляемых недостатков.

🔹 Необходимо повысить уровень контроля за исполнением обязательных требований в сфере защиты информации, в первую очередь субъектов КИИ, органов публичной власти, системообразующих организаций и иных владельцев значимых информационных ресурсов.

🔹 Требует дальнейшего развития практика регулярного внешнего мониторинга публично доступных сервисов. Результаты такого мониторинга должны доводиться до уполномоченных должностных лиц. "Каждый руководитель должен иметь объективное представление о состоянии подведомственной инфраструктуры и понимать меру своей ответственности за непринятие своевременных мер".

🔹 Следует рассмотреть вопрос о совершенствовании мер ответственности за неустранение критических уязвимостей в случаях, когда такое бездействие "создаёт угрозу причинения существенного вреда государственным, общественным и частным интересам". Подход должен быть взвешенным. Если устранение уязвимости в кратчайшие сроки невозможно по объективным причинам, в т.ч. в связи с отсутствием необходимого обновления или необходимостью серьёзной технологической перестройки, должны незамедлительно приниматься компенсирующие меры защиты, позволяющие минимизировать риски.

🔹 Отдельное значение имеет координация усилий всех регуляторов, правоохранительных органов, операторов связи, владельцев информационных систем, организаций, осуществляющих мониторинг угроз, а также разработчиков отечественных решений в сфере ИБ. Сегодня необходимо добиваться не только реагирования на совершённые атаки, но и последовательно устранять условия, способствующие к их совершению.

Большое количество уязвимых публично доступных узлов сети Интернет сохраняет повышенные риски для государства, экономики и граждан. Необходима постоянная работа по их снижению.

❓ Уточняющий вопрос от Владимира Бенгина про то, касаются ли эти предлагаемые меры не только КИИ. Олег Кипкаев подтвердил, что всё так. "Регулирование КИИ, гос. информационных систем, информационных систем органов власти в целом урегулированы. Если говорить о бытовых информационных устройствах, которые используются гражданами в частных целях, а также юридическими лицами, это сейчас является самым уязвимым сектором в сети Интернет." Эта инфраструктура используется для DDoS атак на КИИ. Менее защищённая инфраструктура является опорной точкой для атаки на более защищённую инфраструктуру и её нельзя отсечь по GEO IP и т.д., т.к. эта угроза идёт уже изнутри РФ.

#️⃣ В целом, мои впечатления от доклада очень положительные. Эта инициатива может привести к появлению методических указаний по контролю сетевого периметра (возможно уточнению VM-ных методик ФСТЭК). Также помимо 274.1 УК РФ, возможно появятся и другие действенные аргументы, чтобы "взбодрить" ответственных за устранение уязвимостей. И будет очень здорово, если меры действительно будут касаться не только "КИИ, гос. информационных систем, информационных систем органов власти", но сетевого периметра любых организаций и даже физических лиц. Жаль, конечно, что уязвимостям внутрянки уделяется меньше внимания, но для начала хорошо и так. 🙂

Судя по статье в Ведомостях, именно это выступление привлекло наибольшее внимание, но я постараюсь и остальные выступления отсмотреть, законспектировать и прокомментировать. 😉

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

Добавить комментарий

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем

На сайте ФСТЭК 10 марта был опубликован документ с рекомендациями по защите сетевого периметра информационных (автоматизированных) систем. Документ на 6 страниц, содержит требования, оформленные в 8 групп (символом ✳️ я отметил то, что непосредственно относится к Управлению Уязвимостями):

1. Администрирование, управление конфигурацией и эксплуатацией сетевых устройств: 1.1 администрировать пограничные устройства с изолированных рабочих мест; 1.2 использовать сертификаты или сложные пароли; 1.3 применять уникальные пароли; 1.4 контролировать и журналировать изменения конфигурации; ✳️ 1.5 выявлять и блокировать нелегитимные внешние сервисы; ✳️ 1.6 вести учёт устройств на сетевом периметре; ✳️ 1.7 управлять устройствами с истекающей поддержкой; 1.8 запретить внешнее удалённое администрирование; 1.9 согласовывать изменения с ИБ; 1.10 использовать безопасные протоколы мониторинга.

2. Повышение устойчивости к DDoS-атакам: 2.1 настроить блокировку неразрешённого трафика; 2.2 фильтровать трафик через WAF; 2.3 включить защиту от DDoS; 2.4 ограничивать подключения с одного IP; 2.5 взаимодействовать с оператором связи для противодействия DDoS.

3. Сегментация сети и контроль доступа для защиты ключевых сегментов: 3.1 сегментировать сеть VLAN и локальными сетями; 3.2 контролировать трафик через ACL; 3.3 внедрить ZTNA; 3.4 запретить удалённое администрирование ядра сети; 3.5 создать DMZ с ограниченным доступом к внутренним сегментам.

4. Резервное копирование конфигов: 4.1 назначить ответственного за резервное копирование; 4.2 хранить ≥3 копий на разных носителях, одну отдельно; 4.3 копировать ежемесячно; 4.4 определить права на копирование; 4.5 сохранять критичные конфигурации (ACL, VLAN, NAT, учетные записи); 4.6 проверять восстановление каждые три месяца.

✳️ 5. Управление уязвимостями: 5.1 реализовать управление уязвимостями по Методике анализа защищенности (ФСТЭК 25.11.2025) и Руководству по управлению уязвимостями (ФСТЭК 17.05.2023); 5.2 устанавливать обновления безопасности на пограничных устройствах и тестировать их по Методике тестирования обновлений безопасности (ФСТЭК 28.10.2022) и Методике оценки критичности уязвимостей (ФСТЭК 30.06.2025).

6. Аутентификация и управление доступом: 6.1 централизованный контроль доступа через NAC и межсетевые экраны; 6.2 многофакторная аутентификация для админ-доступа; 6.3 разграничение ролей с минимальными привилегиями.

7. Регистрация и анализ событий ИБ: 7.1 централизованный сбор и анализ событий через SIEM; 7.2 хранение детальных журналов безопасности с временными метками; 7.3 оповещение администраторов о подозрительных действиях и изменениях.

8. Регулярные учения по реагированию на инциденты для проверки их эффективности и восстановления инфраструктуры.

Интересный и подробный документ. 👍 По VM-ной части весьма примечательно, что VM-процесс для периметра рекомендуют строить в соответствии с

🔹 Руководством по Анализу защищённости. Имеются в виду периодические внешние аудиты периметра сторонней организацией с соответствующими критериями успешности? 🤔

🔹 Руководством по организации процесса управления уязвимостями в органе/организации. Был весьма удивлён, т.к. давненько не встречал прямую ссылку на него в документах ФСТЭК. 😲 Всё больше общие требования к VM-процессу, как в 117 приказе или проекте "Мероприятий и мер". 🤷‍♂️

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Добавить комментарий

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак

Продолжение истории с недавними уязвимостями CUPS: уязвимые хосты будут использоваться злоумышленниками для усиления DDoS-атак.

Об этом пишут исследователи из Akamai Technologies. Злоумышленник может отправить на уязвимый хост с CUPS специальный пакет: "добавь-ка принтер по этому IP-адресу". И CUPS начнёт посылать по указанному IP-адресу большие IPP/HTTP запросы. Таким образом можно организовать уязвимые хосты, чтобы они начали DDoS-ить нужные злоумышленнику IP-адреса.

Akamai обнаружили более 198 000 уязвимых хостов с CUPS, из которых более 58 000 (34%) могут быть использованы для DDoS-атак. Из них сотни демонстрировали "бесконечный цикл" запросов в ответ на HTTP/404.

Если предположить, что все 58 000+ уязвимых хостов будут использованы для атаки, они могут вызвать поток трафика от 1 ГБ до 6 ГБ на один udp пакет злоумышленника. Жертве придётся обрабатывать 2,6 млн. TCP-соединений и HTTP-запросов.

Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича

Добавить комментарий

Прожектор по ИБ, выпуск №21 (03.02.2024): LEXXus Якубовича

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, радуемся хорошим просмотрам прошлого эпизода, разгоняем про Поле Чудес и Якубовича
02:42 Обсуждаем большое количество мероприятий по ИБ в начале февраля, вспоминаем финку НКВД от кизлярских мастеров
06:12 Qualys нашли очередные EoP уязвимости GNU C / glibc (CVE-2023-6246, CVE-2023-6779 и CVE-2023-6780), позволяющие непривилегированному пользователю получать root-доступ
08:46 Arbitrary File Write уязвимость в GitLab (CVE-2024-0402)
09:41 Обход аутентификации + EoP в Ivanti Connect Secure, Policy Secure VPN и Ivanti Neurons for ZTA (CVE-2024-21893, CVE-2024-21888)
13:21 В доменной зоне .ru сломался DNSSEC
17:16 Слив данных из Cloudflare
21:05 Мемчик 🤡: Lazarus использует новую малварь
22:31 Avast полностью ушёл из России
25:05 В Бразилии мошенники развели одну из поклонниц сэра Льюиса Хэмилтона на деньги. Внезапно вспоминаем и про сэра Элтона Джона.
28:19 Подозреваемого в убийстве по ошибке выпустили из тюрьмы после киберинцидента, прямо как в первой серии LEXX-а (Yo Way Yo Home Va Ya Ray… 🙂🪲)
31:29 Обсуждаем пост Алексея Лукацкого про сурдопереводчицу-мошенницу и показатели квалификации нанимаемого на работу ИБшника
49:59 В Москве арестовали хакера за DDoS-атаки на объекты критической информационной инфраструктуры. Я там зачитываю из 274.1 УК РФ, но из первой части, а не из четвертой, так что не до 5 лет, а до 8. #
54:09 Mr. X посмотрел новую Мастер и Маргариту и прощается с вами