Красноярские ученые рассказали, как обезопасить корпоративную сеть
17 января 2022 г. Институт вычислительного моделирования СО РАН
Красноярские ученые определили основные источники интернет-угроз для корпоративной сети, и как на ее кибербезопасность повлияла эпидемия COVID-19. Наибольшую опасность представляют веб-пауки, атакующие серверы через их уязвимости. Из полученных данных исследователи составили рекомендации по повышению кибербезопасноти и предупреждению угроз, способных помешать работе корпоративной сети. Результаты исследования были представлены на конференции The 2nd Siberian Scientific Workshop on Data Analysis Technologies with Applications (SibDATA-2021).
В современном мире информационных технологий корпоративные сети — неотъемлемый инструмент повседневной жизни. Такие сети предоставляют доступ к веб-почте, частным облакам и другим онлайн-ресурсам. Поскольку веб-системы и веб-сервисы используют для своей работы интернет, возникают риски, связанные с информационной безопасностью. Их игнорирование может вызвать утечку или потерю данных, несанкционированный доступ к системе или полное нарушение ее работоспособности.
Исследователи Института вычислительного моделирования ФИЦ «Красноярский научный центр СО РАН» выявили источники интернет-угроз в корпоративной сети, а также определили влияние пандемии COVID-19 на использование интернет-сервисов и кибербезопасность. На основе полученных результатов специалисты дали рекомендации по совершенствованию защиты веб-сервисов.
Ученые проанализировали информацию служебных журналов веб-сервисов и системы мониторинга трафика корпоративной сети Красноярского научного центра СО РАН за два года. Длительный интервал измерений позволяет провести более глубокую оценку динамики происходящих процессов по часам, дням и месяцам. По подсчетам исследователей, в 2020 году ежедневное количество атак увеличилось в 1,5 раза для протоколов HTTP и в 2,5 раза для HTTPS по сравнению с предыдущим годом. При этом количество интенсивных атак на веб-ресурсы в 2020 году уменьшилось примерно в два раза.
Как отмечают авторы исследования, большую угрозу для функционирования веб-сервисов представляют «веб-пауки». Это программы, которые сканируют веб-ресурсы и собирают данные. Ошибки и неточности в их работе могут вызывать нарушения в функционировании системы. Более того, существуют специальные «вредоносные пауки», которые ищут имеющиеся уязвимости в веб-ресурсах и используют их для атак на сервер. Большинство ошибок в корпоративной сети ФИЦ КНЦ вызвано сканированием и атаками веб-пауков. При этом среднее количество таких ошибок в 2020 году увеличилось более чем на 60%.
По результатам исследования, за оба года в корпоративной сети наблюдается значительное количество ошибок в ночное время, когда реальные пользователи отсутствуют. Их активность отмечается преимущественно в рабочее время с 9:00 до 18:00. Это говорит о наличии постоянной активности веб-пауков и ботов, осуществляющих сканирование веб-ресурсов.
Пандемия COVID-19 внесла изменения в структуру рисков безопасности сети и вредоносных атак. Например, сотрудники центра стали чаще использовать более безопасный протокол HTTPS для доступа к ресурсам сайта, что снизило уровень киберугроз. Также вредоносным атакам стали больше подвергаться такие протоколы, как Session Initiation Protocol (SIP), что объясняется популярностью видеоконференций во время пандемии COVID-19.
«Обеспечение информационной безопасности — это комплексная задача, включающая в себя меры по снижению рисков угроз. Важной частью является анализ журналов активности веб-сервисов, что позволяет обнаруживать веб-атаки и оптимизировать настройки оборудования. Также анализ активности сервисов необходим для выявления слабых мест инфраструктуры (процессор, память, диск, сетевые операции) для снижения последствий повышенных нагрузок, в том числе хакерских атак. Исследование эффективности средств защиты должно производиться без побочных эффектов для существующей инфраструктуры. Проведенный анализ позволяет обеспечивать бесперебойное функционирование и безопасность компьютерных систем. При внедрении сложных программных комплексов необходимо уделить особое внимание сбору, хранению, обработке и анализу журналов различных сервисов для выявления существующих и потенциальных проблем безопасности», — рассказал Сергей Исаев, кандидат технических наук, заведующий отделом Института вычислительного моделирования СО РАН.
На основе полученных во время исследования результатов специалисты разработали рекомендации по усилению кибербезопасности сети и интернет-сервисов.
«Мы рекомендуем добавить дополнительные правила в систему обнаружения вторжений, а рассчитанные параметры стандартного отклонения использовать для построения моделей, позволяющих отличить фоновое сканирование от целенаправленных атак. Владельцы сайтов должны регулярно обновлять свои веб-ресурсы, использующие популярные системы управления контентом (CMS), форумы, а также сторонние модули, поскольку изучение вредоносной активности веб-пауков показывает повышенный интерес к уязвимостям в старых версиях этих систем. Для усиления безопасности имеет смысл интегрировать автоматическую загрузку списков вредоносных IP-адресов, полученных из журналов веб-ресурсов, в систему блокирования угроз на пограничном маршрутизаторе. Эта мера позволит блокировать вредоносные хосты не только для веб-сервисов, но и для всего диапазона IP-адресов Красноярского научного центра. Наиболее эффективным способом предотвращения угроз безопасности является использование внесения в белые списки IP-адресов и служб VPN для доступа к корпоративным ресурсам», – подчеркнул Дмитрий Кононов, научный сотрудник Института вычислительного моделирования СО РАН.
Поделиться: