Каждый год растет количество взломов сервисов, хакерских атак, утечек персональных данных. Особенно это видно за 2023 год. Открываешь Tadviser — и волосы дыбом встают.

В этом тексте даем базовую информацию о том, как защитить инфраструктуру, не потерять данные клиентов, подготовиться к новым угрозам и эффективно им противодействовать. А еще — делимся чек-листом для повышения уровня безопасности. Подробности под катом!

Вебинар «Как не потерять бизнес в 2024?»


Основные темы вебинара раскрываются за 25 минут. И еще 20 минут спикер @Sellatonys отвечает на вопросы — обязательно посмотрите, чтобы узнать о насущных проблемах в информационной безопасности и их решениях.


Чек-лист для проверки защищенности вашего сервиса


Мы подготовили чек-лист, чтобы вы могли эффективно использовать информацию вебинара. Убедитесь, что можете поставить галочку напротив каждого из пунктов. А если нет, подумайте, как это исправить.

1. Используйте актуальные версии ОС и ПО.

Регулярно следите за актуальностью используемых версий ОС и ПО. При появлении стабильных версий планируйте обновление и реализацию совместимости с имеющейся инфраструктурой.

2. Определите цели для каждого опубликованного в интернет порта.

Любая публикация порта в открытую сеть повышает риски нарушения безопасности публикуемого ресурса и всей инфраструктуры. Публикуйте ресурсы, только если вы убедились в реальной необходимости и предварительно настроили средства защиты.

3. Не публикуйте порты для управления устройствами и хостами.

Если требуется удаленное подключение к хостам для управления, лучший вариант — настройка VPN. Допустимый вариант — ограничение адресов для доступа к портам управления с помощью файрвола.

Следите за открытыми портами. Настройте сканирование портов, чтобы быть в курсе публикации новых служб в интернет. Вы можете пользоваться бесплатным мониторингом портов от Selectel.

4. Разнесите свое веб-приложение и сторонние сервисы на различные хосты.

Разделите веб-часть вашего приложения и остальные сервисы по различным хостам. Используя межсетевой экран, пропишите четкие правила доступа для каждого сервиса.

5. Используйте более безопасные версии протоколов.

Например, HTTPS вместо HTTP, SMTPS вместо SMTP, FTPS вместо FTP, SSH вместо TELNET, SNMPv3 вместо SNMP первой и второй версий.

6. Используйте reverse-proxy в DMZ для публикаций веб-приложений.

Вот перечень актуальных HTTP-заголовков, которые можно использовать для повышения уровня защищенности. Публиковать ресурсы можно, например, с помощью nginx, настроив параметры HTTP-заголовков.

7. Используйте Port-Forwarding для проброса портов вместо NAT.

8. Используйте fail2ban для сервисов, в которых настроена авторизация.

Например, вот информация о настройке fail2ban для SSH.

9. По возможности используйте SSH-ключи для авторизации.

10. Авторизуйтесь на хостах под непривилегированной учетной записью с дальнейшим повышением прав.

11. Используйте сложные пароли.

Например, пароли со следующими характеристиками: длина не менее 15 символов с алфавитом, содержащим строчные, заглавные буквы, цифры, спецсимволы.

12. Используйте авторизацию по сертификату, если нужно ограничить доступ к публикациям портов понятному конечному числу пользователей.

Реализация возможна, например, с помощью nginx в качестве обратного прокси-сервера для публикации ресурсов.

13. По возможности используйте двухфакторную аутентификацию.

14. Используйте IDS/IPS.

Можно использовать open source-решения (Suricata, Snort) или, например, обеспечить защиту сервисов через провайдера. Подобные решения есть и у Selectel — аренда межсетевых экранов и аттестованный ЦОД.

15. Используйте WAF.

Решения класса Web Application Firewall — наилучший вариант для обеспечения безопасной публикации веб-приложений. Выбрать подходящий можно на сайте Selectel.

16. Используйте фильтрацию GeoIP.

Для ограничения пула IP-адресов, которым разрешен доступ к критическим ресурсам, можно использовать фильтрацию по GeoIP на основе списка стран с целевой аудиторией для подключения. Однако этот подход не сработает, если атакующая сторона использует прокси-серверы в разрешенных странах или ваши пользователи могут использовать IP, которые принадлежат компаниям в заблокированных странах.

Также многие файрволы поддерживают эту функциональность — например, UserGate (можно арендовать в Selectel) и pfSense (можно установить на виртуальный или выделенный сервер).

Как часто бывает: заходите на сайт, а он вас прогоняет, якобы вы из другой страны? Ситуация неприятная как для пользователя, так и для интернет-провайдера — нужно поднимать базу IP-адресов и смотреть, где указана неактуальная геолокация.

Мы выпустили статью, в которой рассказали, как починить географию пользователей и автоматически обновлять геолокацию IP-адресов. Если не знали, что такое Geofeed и как с ним работать, добро пожаловать!

17. Подключите защиту от DDOS-атак.

Так вы повысите доступность вашего сервиса путем защиты от DDoS-атак. Все клиенты Selectel получают защиту от самых распространенных DDoS-атак.

18. Настройте регулярное сканирование белых IP-адресов.

Регулярное внешнее сканирование ресурсов поможет поддерживать безопасность на высоком уровне. Можно развернуть свой хост для сканирования или воспользоваться услугой Selectel по анализу уязвимостей.

19. Отслеживайте информацию о новых уязвимостях.

Актуальную информацию можно получить, например, из следующих источников:

  • Банк данных угроз безопасности информации (ФСТЭК),
  • National Vulnerability Database,
  • Common Vulnerabilities And Exposures,
  • VulnDB – Vulnerability Intelligence.

20. Настройте логирование и мониторинг ИБ.

Необходимо настроить сбор логов межсетевого экрана, систем обнаружения и предотвращения вторжения, логи сервисов и ОС. Для более эффективного реагирования должна быть настроена корреляция всей собранной информации. Для мониторинга информационной безопасности можно использовать open source-решение, например Wazuh, или воспользоваться «коробочным» решением, существующим на рынке.

Что делать, если вас взломали


Мы подготовили бесплатную инструкцию, которая поможет избежать неприятностей, обнаружить угрозу и устранить последствия. Изучайте и делитесь своими рекомендациями в комментариях!

Комментарии (1)


  1. Classic_Fungus
    02.05.2024 06:55
    +2

    Пункт про свежее ПО всё чаще настораживает, нежели успокаивает. из последнего можно вспомнить liblzma. Обновление это не плохо, просто неплохо было бы их проверять перед установкой.