С отчетом о работе Национального координационного центра по компьютерным инцидентам (НКЦКИ) на прошедшем в Магнитогорске форуме «Цифровая устойчивость и информационная безопасность в России» выступил Алексей Ицков.

Он отметил, что с начала специальной военной операции, в течение всего 2022 года организации и регуляторы столкнулись с испытаниями на прочность. На реальных объектах реализовывались все атаки, которые ранее отрабатывались в процессе ведомственных и отраслевых учений.

Возглавляет рейтинг компьютерных инцидентов в информационных ресурсах России фишинг. НКЦКИ снял с делегирования 4115 ресурсов в доменных зонах ru, su, рф. Большая часть этих ресурсов была направлена на имитирование сайтов госорганов и предприятий.

За фишингом следует вредоносное ПО. Выявлено 830 зарегистрированных инцидентов с заражением вредоносным программным обеспечением (ВПО). Обычно результатами реагирования на такой инцидент становилось банальное удаление вредоноса, никто не интересовался, как и почему произошло заражение. Опыт показывает, что наличие ВПО может иметь более тяжелые последствия. Операторы ботнетов нередко продают доступ к таким зараженным ресурсам хакерским группировкам.

В 2022 г. зарегистрирован большой объем DDoS-атак, которые стали прикрытие иных воздействий. 182 инцидента были связаны с замедлением работы ресурсов. Как показали расследования инцидентов, не все организации имеют техническую оснащенность для блокировки DDoS-атак. НКЦКИ совместно с Роскомнадзором применили технические средства противодействия угрозам для фильтрации трафика на пограничных переходах для блокировки атак уровня OSI.

Еще один распространенный вид атак — взлом сервисов, доступных на периметре. На них приходится почти половина всех атак. Многие организации уже начали понимать проблемы уязвимости ПО, особенно на внешних сервисах. Однако дальше этого понимания дело не сдвинулось. Треть организаций имеют проблемы с закрытием уязвимостей. Причины этого часто кроются в низкой квалификации сотрудников. Ицков привел набивший оскомину пример незакрытой уязвимости серверов Exchange, патч для которой был выпущен два года назад. В российском сегменте Интернета находится более 100 таких серверов. Несмотря на обращения и указания регулятора, проблема с закрытием уязвимости не решается.

По данным НКЦКИ в 2022 году выявлено компрометаций уязвимостей — 297 инцидентов, уязвимости успешно эксплуатировались в 77 случаях. За 2022 год НКЦКИ разослало 973 бюллетеня об уязвимостях и угрозах безопасности в адрес субъектов ГосСОПКА.

Еще одна причина взломов — теневой ИТ. Это и ненадлежащая организация удаленной работы в период пандемии, и самостоятельное внедрение сотрудниками новых и небезопасных ИТ-решений.

Большой проблемой становятся забытые и неучтенные серверы, сервисы и бизнес-процессы (колл-центры, серверы видеонаблюдения и т. д.), на которые по тем или иным причинам не были установлены обновления. Вносит вклад в проблемы и текучка кадров.

Теневой ИТ искоренить не получится, он будет существовать пока это выгодно сотрудникам, считает Алексей Ицков. Для решения таких проблем необходимо четко сформулировать и закрепить ИТ-политику организации, сформулировать отношение к несанкционированным ИТ средствам. ИТ-политика должна быть гибкой, слышать потребителей и уметь договариваться с ними о внедрении новых решений. Также для решения проблемы теневого ИТ необходимо провести инвентаризацию всех ИТ активов (серверов, сервисов и ресурсов, в т. ч. забытых страниц промо-акций).

Еще один популярный вид атак — атаки через подрядчиков. За прошедший год в России произошло двукратное увеличение таких инцидентов.

Наглядным примером такой атаки стал инцидент с одной из подрядных организаций, которая в инициативном порядке обратилась в НКЦКИ. Злоумышленник проник в сеть организации через уязвимость на видеосервере, компрометировал контроллер домена и прошел по сети, где собрал все разработки компании за последние четыре года. Неизвестный провел в сети шесть месяцев, за это время подрядчик вел работы по проектам КИИ, в т. ч. с удаленным подключением к инфраструктуре заказчиков. При уходе, злоумышленник стер следы своего пребывания и зашифровал данные подрядчика. Тот смог восстановить с помощью бэкапа, с откатом на полгода назад.

Таким образом, произошли компрометация данных о более 50 объектах за последние четыре года, уничтожение инфраструктуры подрядчика и нанесение репутационного и экономического ущерба организации.

Причинами инцидента стали отсутствие корпоративной ИТ-политики, отсутствие обновлений, многофакторной аутенцификации, ограничений доступа к серверам резервного копирования и отсутствие разграничения прав доступа.

Однако решение подрядчика об обращении в НКЦКИ заслуживает уважения, считает Алексей Ицков. Расследование инцидента позволило понять вектор устремленности злоумышленника и интересующий его сектор экономики. Анализ полученных материалов, выполненных подрядчиком работ на объектах КИИ, позволил провести проверку компаний-заказчиков. Инцидент был вынесен на уровень министерства.

«Не нужно бояться взаимодействовать, приходить, общаться. Мы созданы для того, чтобы помогать и защищать, — отметил Алексей Ицков. — Опыт прошлого года показал, что одному не справиться».