Провайдер #CloudMTS назвал пять главных способов защиты от кибератак в 2022 году

Число кибератак полного спектра в 2022 году увеличилось: в «Лаборатории Касперского» посчитали, что хакеры нападали на государственные органы России почти в 10 раз чаще, а в Positive Technologies отметили рост числа кибератак на промышленные предприятия – более 50%. На фоне ухода зарубежных вендоров, прекращения технической поддержки и приостановки работы сервисов среди прочих опасностей особенно заметны стали риски уязвимостей нулевого дня (zero day, или 0-day), считают в облачном провайдере #CloudMTS.

Главный рецепт защиты от zero day – своевременные обновления систем, но и с ними могут возникнуть проблемы, отмечают эксперты. Даже если обновления ПО выпущены, стоит хорошо подумать перед тем, как их устанавливать: они могут содержать скрытые возможности для злоумышленников, не описанные или не соответствующие описанным в документации. Некоторые компании в этом году принимали решение о моратории на обновления ПО.

В зависимости от ситуации, сценарии реагирования и предупреждения киберугроз разные. Однако на рост активности злоумышленников можно ответить соблюдением базовых на сегодня правил кибербезопасности, которые существенно снизят вероятность инцидентов.

1. Защита от DDoS + WAF
   Одной из самых популярных услуг ИБ в 2022 году остается защита от DDoS. Однако более 75% атак направлены на веб-приложения. Полноценно решить проблему отказа в обслуживании можно сочетанием традиционных инструментов защиты от DDoS (системы и сервисы анализа и очистки трафика) и средств защиты веб-приложений (WAF). Компаниям рекомендуется использовать комплексное решение.
2. Межсетевое экранирование + системы обнаружения (IDS) и предотвращения вторжений (IPS)
   Когда обнаруживается уязвимость систем и в открытом доступе появляется использующий её вредоносный код, часто разработчики и администраторы этих систем слишком медленно реагируют на проблему и устраняют уязвимость от нескольких дней до нескольких недель. Сейчас ситуацию усугубляет уход некоторых вендоров с российского рынка и приостановка их технической поддержки. На запрос обновлений они могут просто не ответить.
   Традиционные средства защиты – это межсетевые экраны. Они помогают фильтровать пакеты, запрещающие или разрешающие передачу информации по тому или иному адресу. Полезно дополнять их системами обнаружения (IDS) или предотвращения вторжений (IPS). Они позволяют выявить по характерным признакам атаки из внешних сетей, использующие известные уязвимости, и заблокировать их.
3. Отключение автоматического обновления сигнатур IDS/IPS/WAF
   При использовании систем обнаружения/предотвращения вторжений и межсетевых экранов уровня приложений (WAF) вендоров, которые ушли из России, по возможности, лучше отключить режим автоматического обновления сигнатур. Производить их нужно только после предварительного тестирования: не перестало ли средство защиты реагировать на атаки после обновления? Также важно хранить резервные копии.
4. Резервное копирование
   Снизить риски и уменьшить неопределенность развития событий при киберугрозах также помогут средства резервного копирования и восстановления. Впрочем, это не столько средства защиты, сколько базовые принципы организации информационных систем в компании, которые рекомендуется соблюдать в любом случае.
5. Оценка рисков при использовании зарубежного оборудования и ПО
   Сейчас компаниям стоит проявлять бдительность даже там, где раньше это казалось избыточным, быть особенно осторожными при использовании решений зарубежного производства. Например, блокировать вендорам доступ к управлению функциональностью их продуктов, отключать автоматические обновления. Недобросовестный вендор может включить в очередное обновление недекларированные возможности, с помощью которых злоумышленники получат контроль над системой.