Back
Згідно даних CERT.GOV.UA у ніч з 13 на 14 січня 2022р. було здійснено хакерську атаку на низку сайтів державних органів України. На головній сторінці цих сайтів було розміщено повідомлення провокаційного характеру. Контент сайтів при цьому змінено не було та витоку персональних даних, за попередньою інформацією, не відбулося. В таблиці нижче ми наводимо рекомендації для керівництва постраждалих організації з усунення наслідків та недопущення схожих інцидентів в майбутньому.
| № | Напрямок | Дії | Коментар |
|---|---|---|---|
| 1 | Криміналістика та полювання за загрозами | Отримати та зберегти (в тому числі оффлайн) наступні дані щодо постраждалаих систем: - Журнали доступу та помилок веб-додатків, відладочні журнали (якщо велись); - Журнали роботи операційних систем, баз даних пов'язаних компонент (віртуалізація, черги повідомлень, оркестрація тощо); - Образи жорстких дисків віртуальних машин (контейнерів); - Образи пам'яті (RAM) віртуальних машин (контейнерів); - Журнали мережевих єкранів, реверсивних проксі, WAF що забезпечували доступ до компонент; - Журнали NetFlow з'єднань з серверами; - Журнали доступу проміжних систем за якими велось адміністрування постраждалих систем (SSH/RDP/VPN). | |
| 2 | Криміналістика та полювання за загрозами | З зібраних даних побудувати хронологію атак (timeline) та відповідні ідентифікатори загроз. За необхідності зробити пошук по видалених даних на дисках, аномальних процесів в образах пам'яті, реверс інженерію інструментів хакеру, кореляції мережевих з'єднань. | |
| Криміналістика та полювання за загрозами | Організувати пошук та моніторінг появи ідентифікаторів загроз по решті компонент інфраструктури. За необхідності впровадити додаткові заходи збору журналів, моніторингу цілосності файлів, вмикнути аудит подій безпеки, розгорнути агенти live forensics/incident response. | ||
| 3 | Захист додатків та систем | 1. Виявити механізм проведення атаки та дир безпеки в програмному коді; 2. Верифікувати на QA наявність цих дир; 3. Отримати та застосувати латки від постачальника; 4. Верифікувати на QA + тестуванням на проникнення ефективність латки (відсутність дир); 5. Зробити аудит коду на наявність схожих помилок в інших системах від того ж виробника; 6. Зробити правила IDS/WAF для виявлення спроб експлуатації дир безпеки. | |
| 4 | Захист додатків та систем | 1. Зрозуміти чи була справді відома дира в безпеці у зламаних системах; 2. Організувати відслідковування вразливостей в компонентах (залежностях, пакетах), що складають зламані (та інші) системи (security management in dependencies). Застосувати автоматизовані засоби для відстеження таких вразливостей; 3. Організувати регулярне сканування динамічними аналізаторами вразливостей веб-додатків (при виборі сканеру врахувати той, що показує наявність вразливої версії компоненту); 4. Організувати тестування на проникнення систем. | |
| 5 | Взаємодія з постачальником | Впровадити вимоги безпеки (OWASP-TOP10/OWASP ASVS/ISO27001) в контракті з постачальником. Отримати гарантії (наприклад через незалежний аудит), що постачальник впровадив у себе безпечний цикл розробки (наприклад на базі OWASP SAMM), в тому числі: - регулярні навчання співробітників безпечному кодуванню; - аудити вихідного коду; - керування безпекою залежностей; - надання механізмів перевірки цілісності компонент системи (геші файлів, цифровий підпис). | |
| 6 | Адміністративні заходи | Провести службове (дисциплінарне, інше) розслідування в організації. Вияснити в чиї обов'язки входило : - захист систем, в тому числі виявлення та усунення вразливостей; - виявлення атак, відслідковування подій безпеки, координація інцидентів безпеки. Якщо визначенні обов'язки не були виконані, чи виконувались не ефективно, притягнути до відповідальності. Якщо обов'язки не були розподілені, притягнути до відповідальності керівників/начальників відповідного рівня. У разі високо ризику компрометації персональних та інших чутливих даних повідомити іх власникіів про ризик. | |
| 7 | Загальні заходи безпеки | - Ізолювати в окремих мережах з мінімальними правами мережевого доступу вразливі системи, - Перевстановити з безпечних образів зкомпроментовані системи, - Впровадити безпечний доступ підрядників та адміністраторів (через проміжні сервери та VPN), з прив'язкою IP адрес та багатофакторною аутентифікацією. Закрити доступ до адмін панелей з інтернет., - Змінити всі потенційно зкомпроментовані паролі та ключі, - Відпрацювати процедури резервного копіювання та відновлення. |