20 шагов для повышения уровня информационной безопасности
Каждый год растет количество взломов сервисов, хакерских атак, утечек персональных данных. В этом тексте даем базовую информацию о том, как защитить инфраструктуру, не потерять данные клиентов, подготовиться к новым угрозам и эффективно им противодействовать. А еще публикуем чек-лист для повышения уровня безопасности.
Вебинар «Как не потерять бизнес в 2024?»
Основные темы вебинара раскрываются за 25 минут. И еще 20 минут спикер отвечает на вопросы — обязательно посмотрите, чтобы узнать о насущных проблемах в информационной безопасности и их решениях.
Чек-лист для проверки защищенности вашего сервиса
Мы подготовили чек-лист, чтобы вы могли эффективно использовать информацию вебинара. Убедитесь, что можете поставить галочку напротив каждого из пунктов. А если нет, подумайте, как это исправить.
1. Вы используете актуальные версии ОС и ПО.
Регулярно следите за актуальностью используемых версий ОС и ПО. При появлении стабильных версий планируйте обновление и реализацию совместимости с имеющейся инфраструктурой.
2. У вас есть понимание цели каждого опубликованного в интернет порта.
Любая публикация порта в открытую сеть повышает риски нарушения безопасности публикуемого ресурса и всей инфраструктуры. Публикуйте ресурсы, только если вы убедились в реальной необходимости и предварительно настроили средства защиты.
3. Вы не публикуете порты для управления устройствами и хостами.
Если требуется удаленное подключение к хостам для управления, лучший вариант — настройка VPN. Допустимый вариант — ограничение адресов для доступа к портам управления с помощью файрвола.
Следите за открытыми портами. Настройте сканирование портов, чтобы быть в курсе публикации новых служб в интернет. Вы можете пользоваться бесплатным мониторингом портов от Selectel.
4. Вы разнесли ваше веб-приложение и сторонние сервисы на различные хосты.
Разделите web-часть вашего приложения и остальные сервисы по различным хостам. Используя межсетевой экран, пропишите четкие правила доступа для каждого сервиса.
5. Вы используете более безопасные версии протоколов.
Например, HTTPS вместо HTTP, SMTPS вместо SMTP, FTPS вместо FTP, SSH вместо TELNET, SNMPv3 вместо SNMP первой и второй версий.
6. Вы используете reverse-proxy в DMZ для публикаций веб-приложений.
Вот перечень актуальных HTTP-заголовков, которые можно использовать для повышения уровня защищенности. Публиковать ресурсы можно, например, с помощью nginx, настроив параметры HTTP-заголовков.
7. Вы используете Port-Forwarding для проброса портов вместо NAT.
8. Вы используете fail2ban для сервисов, в которых настроена авторизация.
Например, вот информация о настройке fail2ban для SSH.
9. Вы по возможности используете SSH-ключи для авторизации.
10. Авторизация на хостах происходит под непривилегированной учетной записью с дальнейшим повышением прав.
11. Вы используете сложные пароли.
Например, пароли со следующими характеристиками: длина не менее 15 символов с алфавитом, содержащим строчные, заглавные буквы, цифры, спецсимволы.
12. Вы используете авторизацию по сертификату, если требуется ограничить доступ к публикациям портов понятному конечному числу пользователей.
Реализация возможна, например, с помощью nginx в качестве обратного прокси-сервера для публикации ресурсов.
13. Вы используете решения IDS/IPS.
Можно использовать open source-решения (Suricata, Snort) или, например, обеспечить защиту сервисов через провайдера. Подобные решения есть и у Selectel — аренда межсетевых экранов и аттестованный ЦОД.
14. Вы по возможности используете двухфакторную аутентификацию.
15. Вы используете WAF.
Решения класса Web Application Firewall — наилучший вариант для обеспечения безопасной публикации веб-приложений. Выбрать подходящий можно на сайте Selectel.
16. Вы используете фильтрацию GeoIP.
Для ограничения пула IP-адресов, которым разрешен доступ к критическим ресурсам, можно использовать фильтрацию по GeoIP на основе списка стран с целевой аудиторией для подключения. Однако этот подход не сработает, если атакующая сторона использует прокси-серверы в разрешенных странах или ваши пользователи могут использовать IP, которые принадлежат компаниям в заблокированных странах.
Также многие файрволы поддерживают эту функциональность — например, UserGate (можно арендовать в Selectel) и pfSense (можно установить на виртуальный или выделенный сервер).
17. Вы подключили защиту от DDOS-атак.
Так вы повысите доступность вашего сервиса путем защиты от DDoS-атак. Все клиенты Selectel получают защиту от самых распространенных DDoS-атак.
18. Вы настроили регулярное сканирование белых IP-адресов.
Регулярное внешнее сканирование ресурсов поможет поддерживать безопасность на высоком уровне. Можно развернуть свой хост для сканирования или воспользоваться услугой Selectel по анализу уязвимостей.
19. Вы отслеживаете информацию о новых уязвимостях.
Актуальную информацию можно получить, например, из следующих источников:
- Банк данных угроз безопасности информации (ФСТЭК),
- National Vulnerability Database,
- Common Vulnerabilities And Exposures,
- VulnDB – Vulnerability Intelligence.
20. Вы настроили логирование и мониторинг ИБ.
Необходимо настроить сбор логов межсетевого экрана, систем обнаружения и предотвращения вторжения, логи сервисов и ОС. Для более эффективного реагирования должна быть настроена корреляция всей собранной информации. Для мониторинга информационной безопасности можно использовать open source-решение, например Wazuh, или воспользоваться «коробочным» решением, существующим на рынке.
Что делать, если вас взломали?
Мы подготовили специальную инструкцию, которая поможет избежать неприятностей, обнаружить угрозу и устранить последствия.
Информационная безопасность ваших сервисов
Если вы не знаете, с чего начать построение системы информационной безопасности, почитайте про все наши сервисы защиты.
Дополнительные материалы из Академии Selectel:
