ИНСТРУКЦИЯ ПО ЗАЩИТЕ ИНФОРМАЦИОННОЙ ИНФРОСТРУКТУРЫ УЧРЕЖДЕНИЯ.

Согласно поступившей информации от ФСТЭК России и Национального координационного центра по компьютерным инцидентам и информации, размещаемой в зарубежных средствах массовой информации, зарубежными хакерскими группировками осуществляется подготовка к проведению компьютерных атак на информационную инфраструктуру Российской Федерации, направленных на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры органов государственной власти Российской Федерации.

Кроме того, в социальных сетях и мессенджерах размещается информация о призывах к администраторам информационных систем раскрыть сведения об особенностях функционирования информационных систем, предоставлении аутентификационной информации и наличии уязвимостей с целью проникновения в информационные системы и размещения противоправной информации

В ФСТЭК России поступили результаты комплексного анализа угроз безопасности информации, обусловленных подключением сторонних компонентов (библиотек, сервисов и других готовых модулей) к сайтам органов государственной власти, входящих в состав государственных информационных систем, посредством размещения в их исходном коде ссылок на внешние (в том числе зарубежные) серверы.

По результатам проведенных исследований установлено, что использование сторонних компонентов способствует возникновению угроз безопасности информации, связанных со сбором данных третьей стороной, нарушению штатного режима работы официальных сайтов органов государственной власти Российской Федерации, проведению целенаправленных атак на официальные сайты органов государственной власти Российской Федерации.

В целях повышения защищенности официальных сайтов органов государственной власти необходимо:

-    провести инвентаризацию служб и веб-сервисов, используемых для функционирования официальных сайтов органов государственной власти и размещенных на периметре информационной инфраструктуры (далее - службы и веб-сервисы);

- отключить неиспользуемые службы и веб-сервисы;

-    обновить службы и веб-сервисы, функционирующие на периметре информационной инфраструктуры;

-    усилить требования к парольной политике администраторов и пользователей сайтов органов государственной власти, исключив при этом использование паролей, заданных по умолчанию, отключить сервисные и не используемые учетные записи;

-    обеспечить поддержку сайтами органов государственной власти соединения с применением защищенных протоколов сетевого взаимодействия (HTTPS, SSH и других протоколов). Рекомендуется использовать только актуальные версии таких протоколов. Также не рекомендуется использовать ссылки на сайты с заголовками HTTP даже в теле страниц веб-приложения, поскольку при переходе по такой ссылке есть риск перехвата файлов cookie пользователей;

-    обеспечить фильтрацию сетевого трафика с целью исключения возможности подключения внешних пользователей к ТСР-интерфейсам систем управления базами данных и интерфейсам удаленного управления компонентами сайтов. Рекомендуется оставлять доступными для подключения внешних пользователей только веб-интерфейсы 443/ТСР (HTTPS) и 80/ТСР (с принудительным перенаправлением на порт 443/ТСР с HTTPS);

-    исключить возможность применения на сайтах органов власти сервисов подсчета сбора данных о посетителях, сервисов предоставления информации о месторасположении и иных сервисов, разработанных иностранными организациями (например, сервисов onthe.ioReCAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics);

-    исключить возможность использования встроенных видео- и аудио­файлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы.

В целях повышения устойчивости сайтов органов власти к распределенным атакам, направленным на отказ в обслуживании (DDoS- атакам) необходимо принять следующие первоочередные меры защиты информации:

-    обеспечить настройку правил средств межсетевого экранирования на блокировку не разрешенного входящего трафика;

-    обеспечить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложения (web application firewall (WAF)), установленных в режим противодействия атакам;

-     активировать функции защиты от DDoS-атак на средствах межсетевого экранирования и других средствах защиты информации;

-     ограничить количество подключений с каждого IP-адреса (например, установить на веб-сервере параметр raid-limit);

-     заблокировать входящий трафик, поступающий с IP-адресов, страной происхождения которых являются США и страны Европейского союза;

-     блокировать трафик, поступающий из «теневого Интернета» (сети Тог) (список узлов, которые необходимо заблокировать содержатся по адресу https ://www.dan.me.uk/tomodes);

- обеспечить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложения (web application firewall (WAF)), установленных в режим противодействия атакам.

С целью предотвращения получения зарубежными хакерскими группировками информации об особенностях функционирования информагщонных систем органов государственной власти и организаций необходимо:

- проинформировать администраторов и пользователей информационных систем о недопущении распространения информации о функционировании информационной системы, передаче сторонним лицам своей аутентификационной информации;

- проинформировать администраторов и пользователей информационных систем об ответственности за нарушение требований в области информационной безопасности;

      - усилить контроль над действиями в информационной системе администраторов и пользователей;

-     провести внеплановую смену паролей администраторов и пользователей, используемых для доступа в информационные системы;

-     исключить (при возможности) удаленный доступ посредством сети «Интернет» к информационным системам для администраторов и пользователей;

-     обеспечить (при возможности) двухфакторную аутентификацию администраторов информационных систем.

А так же, согласно поступившей информации от ФСТЭК России в условиях сложившейся политической обстановки, зарубежными хакерскими группировками планируются к проведению компьютерные атаки на информационную инфраструктуру Российской Федерации с применением вирусов-шифровальщиков, а также эксплуатацией уязвимостей иностранного программного обеспечения.

Кроме того, установлено, что зарубежными хакерскими группировками проводятся компьютерные атаки в отношении официальных сайтов органов государственной власти и организаций Российской Федерации.

Внедрение вирусов-шифровальщиков будет осуществляться через почтовые вложения, а также через несанкционированный доступ в информационные системы посредством эксплуатации уязвимостей веб­сайтов и средств, находящихся на периметре информационных систем.

С целью предотвращения реализации угроз безопасности информации, связанных с внедрением вирусов-шифровалыциков, необходимо принять следующие дополнительные меры защиты информации:

1.                Обеспечить резервирование информации, обрабатываемой в информационной системе, и проверить наличие актуальных резервных копий.

2.                Обеспечить хранение резервных копий в изолированном от сети «Интернет» сегменте информационной системы.

3.                Ограничить доступ пользователей информационной системы к резервным копиям данных.

4.                Ограничить (при возможности) сетевое взаимодействие между сегментами информационных систем по принципу «запрещено всё, что явно не разрешено» (например, с помощью технологии VLAN и списков контроля доступа сетевого оборудования).

5.               Активировать функции анализа и блокировки входящего сетевого трафика средств межсетевого экранирования, установленных на рабочих местах пользователей (при их наличии).

6.               Ограничить доступ пользователей информационной системы и доступ внешних пользователей из сети «Интернет» к системам централизованного управления инфраструктурой информационных систем (при их наличии) (например, к таким системам относятся Active Directory, SCCM, Zabbix и другие системы).

7.               Провести анализ защищенности периметра информационной системы и веб-серверов в части выявления и устранения критических уязвимостей, ошибок конфигурации, а также удаления паролей, используемых по умолчанию.

8.               Запретить пользователям подключать к информационным системам неучтенные машинные носители информации, мобильные устройства и открывать любые ссылки из почтовых сообщений, скачивать файлы из сети «Интернет», а также использовать мобильные устройства для подключения к сети «Интернет».

9.               Ограничить (при возможности) администраторам информационных систем права по сетевому подключению к автоматизированным рабочим местам пользователей.

10.           Ограничить средствами прокси-сервера список внешних информационных ресурсов, к которым пользователи информационной системы могут получить доступ (например, путем введения белых списков информационных ресурсов, к которым разрешен доступ).

11.           Организовать доступ к удаленным сегментам информационных систем (при их наличии) с применением виртуальных частных сетей (VPN).

12.                                    Ограничить использование беспроводных сетей (wi-fi).

13.           Обеспечить применение средств антивирусной защиты и антиспама, а также своевременное обновление их баз данных.

14.           Настроить в средствах антивирусной защиты, антиспама (при наличии) проверку всех поступающих на почту вложений.

15.           Создать отдельный электронный почтовый адрес, на который пользователи информационной системы будут присылать письма, которые могут содержать вредоносное содержание (ссылку или вложение).

16.           Проинформировать пользователей информационной системы о необходимости безопасной работы с электронной почтой, а именно:

- внимательно проверять адрес отправителя, даже в случае совпадения имени с уже известным контактом;

- не открывать письма от неизвестных адресатов;

- проверять письма, в которых содержатся призывы к действиям (например, «открой», «прочитай», «ознакомься»), а также с темами про финансы, банки, геополитическую обстановку или угрозы;

- не переходить по ссылкам, которые содержаться в электронных письмах, особенно если они длинные или наоборот, используют сервисы сокращения ссылок (bit.ly, tinyurl.com и т.д.);

- не нажимать на ссылки из письма, если они заменены на слова, не наводить на них мышкой и просматривать полный адрес сайтов;

- проверять ссылки, даже если письмо получено от другого пользователя информационной системы;

- не открывать вложения, особенно если в них содержаться документы с макросами, архивы с паролями, а также файлы с расширениями RTF, LNK, С НМ, VHD;

- внимательно относится к письмам на иностранном языке, с большим количеством получателей и орфографическими ошибками;

- в случае появления сомнений - направлять полученное письмо как вложение администратору информационной системы.

17.            Активировать (при возможности) механизмы проверки электронной почты, проверки подлинности домена-отправителя (например, использовать технологии DKIM, DMARC, SPF), а также настроить проверку входящих писем с использованием этих технологий.

18.            Заблокировать (при возможности) получение пользователя информационной системы в электронных письмах вложений с расширениями: ADE, ADP, .АРК, АРРХ, APPXBUNDLE, ВАТ, САВ, СНМ, CMD, COM, CPL, DLL, DMG, EX, ЕХ_, EXE, НТА, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PSI, SCR, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH.

19.            Заблокировать доставку писем от доменов-отправителей, страной происхождения которых являются США и страны Европейского союза.

С целью предотвращения реализации угроз безопасности информации, связанных с эксплуатацией, уязвимостей, прошу обратить внимание на необходимость устранения следующих уязвимостей:

1.    Уязвимость компонента Zabbix Frontend системы мониторинга Zabbix (BDU:2022-00884, уровень опасности по CVSS 2.0 средний, по CVSS 3.0 критический) позволяет нарушителю обойти аутентификацию на серверах с настроенным языком разметки подтверждения безопасности SAML (открытый стандарт, обеспечивающий единую точку аутентификации (единый вход), которая обеспечивает обмен данными между поставщиком удостоверений и поставщиком услуг). В целях предотвращения возможности эксплуатации указанной уязвимости необходимо отключить аутентификацию SAML.

2.    Уязвимость системы мониторинга Zabbix (BDU:2022-00876, уровень опасности по CVSS 2.0 средний, по CVSS 3.0 средний), связанная с ошибками контроля доступа, которая позволяет злоумышленникам изменить файл конфигурации (скрипт setup.php) и получить доступ к панели управления с повышенными привилегиями. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо удалить setup.php файл.

3.    Уязвимость операционной системы Cisco NX-OS (BDU:2022- 01004, уровень опасности по CVSS 2.0 критический, по CVSS 3.0 высокий) позволяет нарушителю, действующему удаленно, осуществлять команды от имени пользователя root. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо отключить функцию NX-API в настройках программного обеспечения Cisco NX-OS.

4.    Уязвимость сетевого программного обеспечения Mozilla VPN (BDU:2022- 00972, уровень опасности по CVSS 2.0 - средний, по CVSS 3.0 - высокий) позволяет запускать произвольный код с привилегиями SYSTEM при использовании возможности загрузки файла конфигурации OpenSSL из незащищенного каталога. В целях устранения указанной уязвимости необходимо исключить использование Mozilla VPN.

5.    Уязвимость маршрутизаторов Huawei Engine (BDU:2022- 00994, уровень опасности по CVSS 2.0 - высокий, по CVSS 3.0 - высокий) позволяет нарушителю повысить свои привилегия в информационной системе. В целях устранения указанной уязвимости рекомендовано обновление до актуальной версии.

6.    Уязвимость домена обработки потоков (flowd) операционной системы Juniper Networks Junos на устройствах серий MX и SRX (BDU2022-00995, уровень опасности по CVSS 2.0 - высокий, по CVSS 3.0 - высокий) позволяет нарушителю, действующему удаленно, вызвать сбой потока и тем самым реализовать атаку «отказ в обслуживании». В целях устранения указанной уязвимости необходимо отключить функции SIP ALG в настройках сетевого устройства.

Кроме того, зарубежными хакерскими группировками активно эксплуатируются уязвимости в конфигурации серверов MS SQL Server. Компьютерные атаки начинаются со сканирования серверов открытых портов TCP 1433, после чего нарушители запускают специальное программное обеспечение для перебора паролей с целью вскрытия доступных паролей. С целью предотвращения доступа нарушителей к серверам MS SQL Server необходимо заблокировать их доступ к сети «Интернет», а также заблокировать доступ к серверам по порту TCP 1433.

С целью предотвращения реализации угроз безопасности информации, связанных с наличием на сайтах открытых каталогов, необходимо принять следующие дополнительные меры защиты информации:

1.    Настроить правила доступа для всех категорий пользователей веб­серверов к файлам и каталогам веб-сервера в соответствии с установленными правилами разграничения доступа (например, для пользователей, от имени которых запускается веб-сервер, для пользователей ftp-серверов и пользователей других служб).

2.    Установить минимально необходимые для работы права доступа к файлам и директориям веб-серверов пользователям и администраторам.

3.    Ограничить доступ к каталогам систем контроля версий и их содержимому (таким как .git, .svn и другие каталоги) осуществляется сканирование.

4.    Настроить запрет выдачи листинга каталогов при отсутствии в них индексируемых файлов (если иное не предусмотрено функциональными возможностями веб-сервера).

5.    Настроить с использованием файла с именем robots.txt разрешенные и запрещенные для индексации каталоги и файлы.

6.    Ограничить хранение в директориях веб-сервера резервных копий и прочих файлов, наличие которых не требуется для функционирования веб-приложения.

7.    Ограничить использование на веб-страницах серверов информационных ресурсов (видеофайлов, электронных документов, изображений и других файлов), размещенных на сторонних серверах.

 Согласно поступившей информации от ФСТЭК России в условиях сложившейся политической обстановки, зарубежными хакерскими группировками в адрес органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти и организаций Российской Федерации направляются фишинговые письма, содержащие вредоносные вложения в виде ссылок на информационные ресурсы, архивов и файлов, проводятся компьютерные атаки, направленные на получение защищаемой информации (конфиденциальной информации, персональных данных работников, конфигурационной информации об информационной инфраструктуре), кроме того, активно эксплуатируются уязвимости программного обеспечения.

С целью предотвращения реализации угроз безопасности информации, связанных с фишингом, необходимо принять следующие дополнительные меры защиты информации:

1.                Организовать единый почтовый ящик электронной почты внутри ведомства (организации), на который работники направляют подозрительные электронные письма.

2.                Проинформировать работников ведомства (организации) о необходимости:

- направления всех подозрительных электронных писем на почтовый ящик электронной почты, указанный в пункте 1 настоящих рекомендаций;

- внимательно проверять адрес отправителя, даже в случае совпадения имени с уже известным контактом;

- не открывать письма от неизвестных адресатов;

- проверять письма, в которых содержатся призывы к действиям (например, «открой», «прочитай», «ознакомься»), а также с темами про финансы, банки, геополитическую обстановку или угрозы»;

- не переходить по ссылкам, которые содержатся в электронных письмах, особенно если они длинные или наоборот, используют сервисы сокращения ссылок (bit.Iy, tmyurl.com и т. д.);

- не нажимать на ссылки из письма, если они заменены на слова, не наводить на них мышкой и просматривать полный адрес сайтов;

- проверять ссылки, даже если письмо получено от другого пользователя информационной системы;

- не открывать вложения, особенно если в них содержатся документы с макросами, архивы с паролями, а также файлы с расширениями RTF, LNK, CHM, VHD;

- внимательно относиться к письмам на иностранном языке, с большим количеством получателей.

3.                Настроить в средствах антивирусной защиты, антиспама (при наличии) проверку всех поступающих на почту вложений.

4.                Активировать (при возможности) механизмы проверки электронной почты, проверки подлинности домена-отправителя (например, использовать технологии DKIM, DMARC, SPF), а также настроить проверку входящих писем с использованием этих технологий.

5.                Заблокировать (при возможности) получение пользователя информационной системы в электронных письмах вложений с расширениями: ADE, ADP,.APK, АРРХ, APPXBUNDLE, ВАТ, САВ, СНМ, CMD, COM, CPL, DLL, DMG, EX, ЕХ_, EXE, НТА, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PSI, SCR, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH.

6.                Заблокировать доставку писем от доменов-отправителей стран, поддержавших санкции Украины, США и страны Европейского союза.

С целью предотвращения реализации угроз безопасности информации, связанных с утечкой защищаемой информации, необходимо принять следующие дополнительные меры защиты информации:

1.    Запретить возможность размещения защищаемой информации в облачных сервисах, а также ее передачу через мессенджеры, Google Docs и другие сервисы.

2.    Обеспечить контроль содержимого файлов, передаваемых посредством электронной почты, с применением систем предотвращения утечки информации (DLP - систем).

3.    Провести аудит подключаемых к автоматизированным рабочим местам съемных машинных носителей информации и анализ записываемой на них информации (например, реализовать технологию «теневого копирования»).

4.    Обеспечить отслеживание геолокации пользователей, осуществляющих удаленное подключение к информационной инфраструктуре.

5.    Обеспечить мониторинг информационных ресурсов, расположенных в сети «Интернет», на предмет выявления утечек защищаемой информации ведомства (организации), и оперативное принятие мер по предотвращению ущерба такой утечки.

В случае выявления фактов утечки защищаемой информации в ведомстве (организации) необходимо выполнить следующие первоочередные мероприятия:

- сменить учетные данные пользователей и администраторов информационных систем и реализовать двухфакторную аутентификацию (при возможности);

- при утечке конфигурационной информации обеспечить мониторинг запросов на доступ к информационной инфраструктуре и оперативное реагирование на попытки несанкционированного доступа к ней.

С целью предотвращения реализации угроз безопасности информации, связанных с эксплуатацией уязвимостей, необходимо обратить внимание на устранение следующих уязвимостей:

1.      Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С Битрикс (BDU:2022-01141, уровень опасности по CVSS 2.0 - средний, по CVSS 3.0 - критический), связанная с возможностью отправки специально сформированных сетевых пакетов, позволяющая нарушителю, действующему удаленно, записать произвольные файлы в уязвимую систему. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- отключить или удалить модуль «vote»;

- осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты.

2.      Уязвимость библиотеки cmark-gfm (BDU:2022-01140, уровень опасности по CVSS 2.0 - высокий, по CVSS 3.0 - высокий), позволяющая нарушителю, действующему удаленно, выполнить произвольный код. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- отключить расширения table extansion;

- использовать входные данные для библиотеки только из доверенных источников.

3.      По имеющейся в ФСТЭК России информации, в течении суток пользователи телекоммуникационного оборудования Cisco будут отключены от Smart-аккаунтов.

В целях недопущения возникновения такой ситуации рекомендуется на выходе инфраструктуры в сеть «Интернет» организовать фильтр с запретом трафика на домены и поддомены Cisco, в частности на адрес tools.cisco.com.

4.      Уязвимость программных продуктов Mozilla (BDU:2022-01146, уровень опасности по CVSS 2.0 - высокий, по CVSS 3.0 - высокий), связанная с обращением к уже освобожденной области памяти (Use-after- free) в коде для обработки параметра XSLT, может позволить нарушителю, действующему удаленно, выполнить произвольный код. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- обеспечить доступ только к доверенным Интернет-ресурсам; осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты;

- осуществлять запуск браузера от имени пользователя с минимальными привилегиями.

5.      Уязвимость программных продуктов Mozilla (BDU:2022- 01147, уровень опасности по CVSS 2.0 - высокий, по CVSS 3.0 - высокий), связанная с обращением к уже освобожденной памяти IPC фреймворке WebGPU может позволить нарушителю, действующему удаленно, выйти из изолированной программной среды. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- обеспечить доступ только к доверенным Интернет’-ресурсам;

- осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты;

- осуществлять запуск браузера от имени пользователя с минимальными привилегиями.

6.      Уязвимость API кластерной базы данных устройств Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01148 уровень опасности no CVSS 2.0 - высокий, no CVSS 3.0 - высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удаленно, перезаписать произвольные файлы на базовой операционной системе в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- ограничить доступ к API;

- организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети);

- осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты;

- использовать системы обнаружения и предотвращения вторжений.

7.      Уязвимость веб-интерфейса управления устройствами Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01149 уровень опасности no CVSS 2.0 - высокий, no CVSS 3.0 - высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удаленно, выполнить произвольный код в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

- ограничить доступ к API;

- организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети);

- осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты;

- использовать системы обнаружения и предотвращения вторжений.

С инструкцией ознакомились: