Кибербезопасность для подрядчиков

[Carder]

Этот документ был разработан для помощи подрядчикам в обеспечении надлежащей защиты информации правительства Австралии в их системах.

Введение​

Злоумышленники регулярно атакуют информацию правительства, имеющуюся у подрядчиков, как секретную, так и несекретную, в попытке получить экономическое или стратегическое преимущество.
Этот документ был разработан для помощи подрядчикам в обеспечении надлежащей защиты информации правительства в их системах.

Подрядчики владеют ценной информацией​

Службы внешней разведки представляют собой главную киберугрозу. Такие противники ищут как информацию о национальной безопасности, так и коммерческую информацию, чтобы выявить уязвимые места в австралийских возможностях или для получения собственного экономического или стратегического преимущества.
Подрядчики, как в России, так и за рубежом, сообщают о значительном увеличении злонамеренной киберактивности против их систем и являются приоритетными целями для злоумышленников [1] . Часто ценность информации, содержащейся в системах подрядчика, для злоумышленника не сразу очевидна. Несекретная информация может быть конфиденциальной; в частности, массовое агрегирование несекретной информации может представлять угрозу интересам Австралии.
Примеры злоумышленников, компрометирующих подрядчиков, включают:

• Американская аэрокосмическая компания Boeing, в результате чего в Китай были отправлены гигабайты информации, относящейся к 32 проектам США, включая информацию о Lockheed Martin F-35 и F-22, а также о самолете Boeing C-17 [2].
• Поставщик средств безопасности из США - RSA, что впоследствии привело к нападению на американских оборонных подрядчиков Lockheed Martin, L-3 Communications и Northrop Grumman. Сообщается, что этот инцидент кибербезопасности обошелся в 90 миллионов рупий [3].

Техники кибер-вторжений многочисленны и разнообразны. Распространенной техникой кибер-вторжений, используемой злоумышленниками, являются электронные письма с использованием социальной инженерии, нацеленные на высокопоставленных сотрудников подрядчиков и их вспомогательный персонал. Эти электронные письма часто направлены на использование распространенных уязвимостей безопасности, таких как незащищенные приложения или операционные системы, использование одинаковых паролей в разных системах или использование личных устройств в рабочих целях. Эти электронные письма могут быть отправлены напрямую от злоумышленника или от поставщика или субподрядчика, который злоумышленник уже скомпрометировал, чтобы использовать доверительные отношения со своей предполагаемой целью.

Основные стратегии смягчения последствий​

Для защиты информации, предоставленной правительством Австралии или разработанной для него, подрядчики должны внедрить восьмерку основных стратегий смягчения инцидентов в области кибербезопасности:

• Контроль приложений для предотвращения выполнения неутвержденных / вредоносных программ, включая .exe, DLL, сценарии (например, Windows Script Host, PowerShell и HTA) и установщики.
• Патч-приложения, например Flash, веб-браузеры, Microsoft Office, программы просмотра Java и PDF. Устранение / устранение уязвимостей компьютеров с «экстремальным риском» в течение 48 часов. Используйте последнюю версию приложений.
• Настройте параметры макросов Microsoft Office для блокировки макросов из Интернета и разрешите проверенные макросы только в «надежных местах» с ограниченным доступом на запись или с цифровой подписью с помощью доверенного сертификата.
• Укрепление пользовательских приложений. Настройте веб-браузеры на блокировку Flash (в идеале - удалите), рекламы и Java в Интернете. Отключите ненужные функции в Microsoft Office (например, OLE), веб-браузерах и средствах просмотра PDF.
• Ограничьте права администратора операционными системами и приложениями в зависимости от обязанностей пользователя. Регулярно подтверждайте необходимость в привилегиях. Не используйте привилегированные учетные записи для чтения электронной почты и просмотра веб-страниц.
• Патчинг операционных систем. Устранение / устранение уязвимостей компьютеров (включая сетевые устройства) с «экстремальным риском» в течение 48 часов. Используйте последнюю версию операционной системы. Не используйте неподдерживаемые версии.
• Многофакторная аутентификация, в том числе для VPN, RDP, SSH и другого удаленного доступа, а также для всех пользователей, когда они выполняют привилегированное действие или получают доступ к важному (конфиденциальному / высокодоступному) репозиторию данных.
• Ежедневные резервные копии важных новых / измененных данных, программного обеспечения и параметров конфигурации, хранящиеся отключенными, хранятся не менее трех месяцев. Первоначально тестируйте восстановление, ежегодно и при изменении ИТ-инфраструктуры.

Дополнительные стратегии смягчения​

Регулярно проводите оценку уязвимости​

Помимо реализации Essential Eight, системы следует регулярно проверять на наличие уязвимостей, особенно после значительных изменений. Оценки уязвимости могут выполняться собственными силами или независимым поставщиком с использованием как автоматических, так и ручных методов.

Реализуйте образовательную программу для сотрудников и субподрядчиков​

Образовательная программа предоставит сотрудникам и субподрядчикам лучшее понимание распространенных киберугроз, таких как электронные письма с использованием методов социальной инженерии, вредоносные веб-сайты и опасность неправильной политики паролей.

Остерегайтесь злонамеренных инсайдеров​

Злоумышленники часто пытаются повлиять на сотрудников подрядчиков, пытаясь получить доступ к информации правительства Австралии или заставить их выполнять действия в системе для достижения своих стратегических целей. Этот риск можно снизить, проводя постоянную проверку сотрудников, особенно тех, у кого есть привилегированный доступ, контролируя возможность удаления информации правительства Австралии из систем и внедряя комплексную программу аудита.

Сообщайте об инцидентах кибербезопасности как можно раньше и чаще​

Это включает в себя информирование центра кибербезопасности (ACSC) о любых инцидентах кибербезопасности, которые потенциально могут угрожать информации правительства. Обращение за помощью на раннем этапе может смягчить или уменьшить потенциально опасный и неловкий компромисс. Немедленно проинформировав ACSC, помощь может быть предоставлена без промедления и будет способствовать сохранению информации правительства.