Красноярские ученые установили источники киберугроз для корпоративной сети

Изображение: (сс) geralt
Контроль киберпространства
Контроль киберпространства

Основные источники интернет-угроз для корпоративной сети определили красноярские ученые в докладе на конференции The 2nd Siberian Scientific Workshop on Data Analysis Technologies with Applications (SibDATA-2021), сообщила 18 января пресс-служба Сибирского отделения РАН.

Ученые из Федерального исследовательского центра «Красноярский научный центр (ФИЦ КНЦ) Сибирского отделения Российской академии наук» выявили источники интернет-угроз и установили, что наибольшую опасность представляют веб-пауки, атакующие серверы через их уязвимости.

Данные, полученные в ходе исследования, позволили им составить рекомендации по повышению кибербезопасности и предупреждению угроз, способных помешать работе корпоративной сети.

Корпоративные сети в современном мире информационных технологий стали важным инструментом повседневной жизни. Они предоставляют пользователям доступ к веб-почте, частным облакам, а также ко многим другим онлайн-ресурсам.

Веб-системы и веб-сервисы в своей работе используют интернет, что вызывает риски, связанные с информационной безопасностью: утечка или потеря данных, несанкционированный доступ к системе или даже полное нарушение ее работоспособности.

Проанализировав информацию служебных журналов веб-сервисов и системы мониторинга трафика корпоративной сети Красноярского научного центра СО РАН за два года, ученые провели глубокую оценку динамики происходящих процессов по часам, дням и месяцам.

Было установлено, что ежедневное количество атак в 2020 году по сравнению с предыдущим годом увеличилось в 1,5 раза для протоколов HTTP и в 2,5 раза для HTTPS. Однако количество интенсивных атак на веб-ресурсы в 2020 году уменьшилось — примерно в два раза.

«Веб-пауки», которые, как установили исследователи, представляют наибольшую угрозу для функционирования веб-сервисов, — это программы, сканирующие веб-ресурсы и собирающие данные. В их работе могут случаться ошибки и неточности, вызывающие нарушения функционирования системы.

Кроме того, существуют специальные «вредоносные пауки», отыскивающие уязвимости в веб-ресурсах, которые затем используют для атак на сервер. Так, большая часть произошедших сбоев в корпоративной сети ФИЦ КНЦ была вызвана сканированием и атаками веб-пауков. Причем в 2020 году среднее количество таких ошибок выросло более чем на 60%.

В докладе было отмечено, что в проанализированный промежуток времени значительное количество ошибок в корпоративной сети случилось в ночное время, когда в ней отсутствовали реальные пользователи, активная работа в сети которых ведется в рабочее время с 9:00 до 18:00. Этот факт свидетельствует о наличии постоянной активности веб-пауков и ботов, сканирующих веб-ресурсы.

Отмечено также, что значительные изменения в структуру рисков безопасности сети и вредоносных атак внесла пандемия COVID-19. Так, сотрудники ФИЦ КНЦ для доступа к ресурсам сайта чаще стали пользоваться более безопасным протоколом HTTPS, что снижает уровень киберугроз.

Однако такие протоколы, как Session Initiation Protocol (SIP), стали больше подвергаться вредоносным атакам. Это произошло из-за возрастания во время пандемии числа видеоконференций.

Сергей Исаев, кандидат технических наук, заведующий отделом Института вычислительного моделирования СО РАН рассказал о составляющих комплексной задачи по снижению рисков угроз:

«Важной частью является анализ журналов активности веб-сервисов, что позволяет обнаруживать веб-атаки и оптимизировать настройки оборудования. Также анализ активности сервисов необходим для выявления слабых мест инфраструктуры (процессор, память, диск, сетевые операции) для снижения последствий повышенных нагрузок, в том числе хакерских атак. Исследование эффективности средств защиты должно производиться без побочных эффектов для существующей инфраструктуры».

Такой анализ даст возможность обеспечить бесперебойное функционирование и безопасность компьютерных систем. Кроме того, отметил Сергей Исаев, внедрение сложных программных комплексов требует особое внимание уделять сбору, хранению, обработке и анализу журналов различных сервисов, чтобы своевременно выявлять существующие и потенциальные источники опасности.

В разработанных по результатам анализа рекомендациях по усилению кибербезопасности сети и интернет-сервисов, о которых рассказал научный сотрудник Института вычислительного моделирования СО РАН Дмитрий Кононов, указывается, что необходимо добавить дополнительные правила в систему обнаружения вторжений. Кроме того, следует использовать рассчитанные параметры стандартного отклонения для построения моделей, которые позволят отличать фоновое сканирование от целенаправленных атак.

Также владельцам сайтов следует регулярно обновлять свои веб-ресурсы, использующие популярные системы управления контентом (CMS), форумы, и сторонние модули, так как анализ вредоносной активности веб-пауков выявил повышенный интерес к уязвимостям в старых версиях таких систем.

«Для усиления безопасности имеет смысл интегрировать автоматическую загрузку списков вредоносных IP-адресов, полученных из журналов веб-ресурсов, в систему блокирования угроз на пограничном маршрутизаторе. Эта мера позволит блокировать вредоносные хосты не только для веб-сервисов, но и для всего диапазона IP-адресов Красноярского научного центра. Наиболее эффективным способом предотвращения угроз безопасности является использование внесения в белые списки IP-адресов и служб VPN для доступа к корпоративным ресурсам», — подчеркнул Дмитрий Кононов.

Ранее ИА Красная Весна сообщило, что начало переговоров по Конвенции ООН о киберпреступности, назначенных на 17–28 января в Нью-Йорке, отложено на неопределенный срок в связи с пандемией коронавируса.