Перед лицом угрозы, исходящей от зарубежных хакерских группировок, ФСТЭК разослала госорганам рекомендации, которые призваны обезопасить их официальные интернет-сайты. С ресурсов рекомендовано удалить ряд зарубежных сервисов, включая Google Analytics, Google Maps, Google Translate.

ФСТЭК — в заботе о безопасности госсайтов

Федеральная служба по техническому и экспортному контролю России (ФСТЭК) подготовила для госорганов рекомендации по повышению защищенности их официальных сайтов в связи с новыми данными о специфики хакерских атак зарубежных группировок.

Рекомендации были направлены 28 февраля 2022 г. федеральным органам исполнительной власти и неназванным в документе «организациям по указателю рассылки». Копию письма опубликовал telegram-канал «Майский указ» (скачать с сервера CNews: стр.1, стр. 2). Редакция CNews ожидает от ФСТЭК подтверждения подлинности документа.

В письме за подписью заместителя директора ФСТЭК Виталия Лютикова сообщается, что, согласно поступившей в ведомство информации от Национального координационного центра по компьютерным инцидентам, компрометация и нарушение функционирования официальных сайтов госорганов является одним из векторов проведения компьютерных атак из-за границы в отношении информационной инфраструктуры России.

В этой связи ФСТЭК полагает, что госорганам нужно провести инвентаризацию служб и веб-сервисов, используемых для функционирования сайтов, отключить неиспользуемые службы, усилить требования к парольной политике администраторов и пользователей, исключив при этом использование паролей, заданных по умолчанию, отключить сервисные и неиспользуемые учетные записи.

Служба считает необходимым обеспечить сетевое взаимодействие с применением защищенных актуальных версий протоколов НТТРS, SSН и др.

Иностранные сервисы под запретом

Также ФСТЭК рекомендует исключить применение на госсайтах сервисов подсчета и сбора данных о посетителях, сервисов предоставления информации о местоположении «и иных сервисов, разработанных иностранными организациями». Вихчисле — onthe.io, RеСАРТСНА, Youtube, Google Analytics, Google Maps, Google Translate.

С точки зрения регулятора, госорганам надо исключить на сайтах возможность использования встроенных видео- и аудиофайлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы.

Защита от DDoS

Ряд рекомендованных действий касается мер повышения устойчивости госсайтов к распределенным атакам, направленным на отказ в обслуживании (DDoS). В частности предлагается обеспечить настройку правил средств межсетевого экранирования, направленных на блокировку неразрешенного входящего трафика, обеспечить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (webapplicationfirewall, WAF), переведенных в режим противодействия атакам, активировать функции защиты от DDoS-атак на средствах межсетевого экранирования и других средствах защиты информации.

Также рекомендуется ограничить количество подключений с каждого IP-адреса (например, установить на веб-сервере параметр rate-limit), блокировать входящий трафик, поступающий с IP-адресов из США, стран Европейского союза или любой другой страны, являющейся источником компьютерных атак.

Наконец, ведомство предписывает блокировать трафик, поступающий из «теневого Интернета» через Tor-браузер (список узлов, которые необходимо заблокировать содержится по адресу dan.me.uk/tornodes).

«О выполнении указанных рекомендаций просим проинформировать ФСТЭК России до 30 апреля 2022 г.», — прописано в документе.

Комментарии рынка

Директор по информационной безопасности компании SEQ Анастасия Мельникова в разговоре с CNews сообщила, что в ее понимании, речь идет о вполне стандартном наборе рекомендаций по повышению уровня безопасности и отказоустойчивости систем, «которым разумно следовать и в нейтральной обстановке».

«За вычетом акцента на неиспользовании иностранных ресурсов, предлагаемые меры вполне стандартны, — полагает она. — Атаки на инфраструктуру госорганов осуществляются постоянно, их регулярно пытаются проверять на прочность хакеры любого уровня. Каких-то совсем уж нестандартных мер в этом документе не предполагается».

Во многом с Мельниковой солидарен ведущий инженер CorpSoft24 Михаил Сергеев, считающий, что ограничения, описанные в данном документе, кроме блокировки IP США/Европы и сервисов Youtube/ReCAPTCHA, должны были быть исполнены еще задолго до недавних событий так как это основа безопасности.

«Заблокировать страну на уровне IP, на уровне оператора вэб-сайта очень проблематично и потребует много усилий и определенных компетенций, поэтому есть смысл делать это на уровне провайдера, который предоставляет услуги по предоставлению IP-адресов, — считает он. — Блокировка сервисов Youtube/ReCAPTCHA/Analytics и других американских продуктов очень сильно затронет многие ресурсы, и отсутствие российских аналогов данных сервисов вызовет проблемы в работе сайтов, но подтолкнет к развитию аналогов в РФ».

Сергеев также отмечает, что в целом рекомендации направлены на обеспечение безопасности государственных систем и сайтов. «Из-за текущей обстановки количество атак на них увеличилось, поэтому блокировка целых стран позволит минимизировать вектор атаки, а также возможно и полностью исключить эту возможность, — рассуждает он. — Провайдеры сайта “Госуслуги” на уровне автономных систем уже заблокировали возможность доступа из указанных стран, поэтому граждане России, находящиеся на территории заблокированных стран, не смогут пользоваться сервисом».

Источник: Cnews