Новые рекомендации ФСТЭК по защите периметра: практические шаги к реальной кибербезопасности

Актуальность проблемы

Очевидно, что документ «Рекомендации по защите сетевого периметра информационных (автоматизированных) систем» стал ответом ведомства на устоявшуюся проблему: злоумышленники регулярно прорывают ИБ-периметр компаний не с помощью, например, сложных эксплойтов нулевого дня, а из-за типовых ошибок в конфигурации пограничного оборудования.

«К сожалению, эта проблема очень актуальна. Администраторы нередко забывают обновлять оборудование для устранения уязвимостей, оставляют лишние разрешенные сервисы и т.п. При этом практически все разработчики сетевого оборудования и средств защиты выпускают свои рекомендации по их настройке и управлению, однако заказчики часто их игнорируют. В результате может компроментироваться как само граничное оборудование, так и вся инфраструктура компании. Поэтому выпуск подобных рекомендаций со стороны ФСТЭК можно только приветствовать», – комментирует архитектор клиентского опыта будущего UserGate Михаил Кадер.

Архитектор клиентского опыта будущего UserGate Михаил Кадер
Фото: пресс-служба UserGate

«Безусловно обозначенная проблема недостаточной защищенности является актуальной. Действительно, по опыту, нелегитимные взаимодействия с внешней сетью, сформированные, допустим, ненамеренно при конфигурации сетевого оборудования, имеют место быть. Также не уделяется должное внимание использованию существующих средств безопасности, встроенных в пограничное сетевое оборудование. Выявление данных недостатков, а также соблюдение остальных представленных рекомендаций позволит значительно сократить список векторов атак на инфраструктуру предприятия и обеспечить спокойный сон соответствующим специалистам», – добавляет ведущий инженер группы систем защиты АСУ ТП компании «Газинформсервис» Никита Фотин.

Ведущий инженер группы систем защиты АСУ ТП компании «Газинформсервис» Никита Фотин
Фото: пресс-служба «Газинформсервис»

Чек-лист для администраторов: основные рекомендации

Практические меры повышения защищенности, предложенные ФСТЭК, ориентированы на формирование комплексной инфраструктуры сетевой безопасности предприятий и устранение уязвимостей в маршрутизаторах, межсетевых экранах и другом сетевом оборудовании, которые годами служат точками входа для вымогателей и хакерских групп. По сути, регулятор предлагает системным администраторам организаций готовый чек-лист для аудита безопасности периметра.

Ключевой блок рекомендаций касается управления оборудованием. В частности, ФСТЭК отмечает риски публикации интерфейсов удаленного управления (SSH, RDP, VNC) в открытом доступе на внешнем периметре или в демилитаризованной зоне (пункт 1.8). Эта практика, десятилетиями считавшаяся дурным тоном в сфере безопасности, до сих пор приводит к громким инцидентам. Настраивать оборудование предписано исключительно с выделенных доверенных рабочих мест, изолированных от глобальной сети.

Помимо этого, регулятор ужесточает требования к парольной политике и конфигурациям. В документе указано на необходимость использования PAM-систем для управления привилегированным доступом (пункт 1.4) и ведения строгого учета активов с привязкой к срокам вендорской поддержки (пункт 1.6). Устаревшее ПО и «учетки по умолчанию» окончательно переходят в разряд недопустимых рисков.

Понимая, что периметр может быть прорван, регулятор делает ставку на архитектурное сдерживание. Рекомендации предписывают жесткую сегментацию сети с помощью технологии VLAN и списков контроля доступа ACL (Access Control List), изоляцию демилитаризованной зоны и построение доступа по модели нулевого доверия (раздел 3). Смысл этих мер – лишить атакующего возможности свободно перемещаться по внутренней инфраструктуре, даже если внешний рубеж пал.

Особое место в документе занимает глубина логирования. ФСТЭК рекомендует организациям внедрять SIEM-системы (пункт 7.1) и дает четкий перечень событий, подлежащих регистрации: от изменения конфигураций и создания подозрительных процессов до всех попыток аутентификации и DNS-запросов. Такой уровень детализации данных критически важен для расследования инцидентов и выявления активности злоумышленника на ранних стадиях. В дополнение к этому рекомендуется проводить регулярные учения по реагированию на инциденты, чтобы проверять не столько бумажные регламенты, сколько реальную готовность команды.

Значение рекомендаций

Новый документ ФСТЭК знаменует отказ от абстрактных формулировок в пользу жесткой инженерной дисциплины. Организациям предстоит пересмотреть архитектуру сетей и процессы администрирования, чтобы соответствовать требованиям, продиктованным опытом реальных атак. Регулятор смещает акцент с формального соответствия на практическую неуязвимость периметра.

В то же время, по мнению экспертов, следование рекомендациям должно стать для компаний частью грамотной политики обеспечения кибербезопасности вкупе с другими мерами – в том числе, со своевременным обновлением парка сетевых устройств и повышением компетенций персонала.

«Проблему полностью устранить, к сожалению, невозможно. Актуальный ландшафт угроз слишком динамичен, а современные средства защиты слишком сложны, чтобы вписать их в узкие рамки директивы. К тому же всегда остается влияние человеческого фактора. Тем не менее, следование подобным рекомендациям значительно снизит риск взлома, потому что они обобщают лучшие практики, разработанные в индустрии. ФСТЭК периодически дорабатывает и обновляет свои рекомендации, чтобы они всегда оставались актуальными. Так что изучать их и следовать им – правильная и полезная практика», – уверен Михаил Кадер (UserGate).

«Исполнение рекомендаций позволит срезать часть проблем, однако они носят общий характер, и возможность их исполнения и реализация отдельных технических мер будут зависеть от используемых на эксплуатируемых объектах производителей и моделей оборудования. Условно, морально устаревшие маршрутизаторы могут не обладать функциональностью создания белых/черных списков используемых сервисов, правил МЭ и др. Представляют особый интерес рекомендации по использованию PAM-систем и NAC-систем, что явно расширяет привычный нам перечень возможных для использования СрЗИ в составе систем защиты АСУ ТП. Из дополнительных способов защиты я бы предложил использование инструментальных средств контроля конфигураций оборудования (как сетевого оборудования, так и конечных устройств сети). Также, хотя в тексте документа отсутствует явное упоминание о нем, но косвенно средство NTA существенно позволит выполнить п.1.8, п.1.10 и др. представленных рекомендаций. Но это зависит от того, с какого устройства сети мы будем «слушать» трафик – ближе к «границе» или же внутри сегмента сети», – дополняет Никита Фотин («Газинформсервис»).