Кибербезопасность Узбекистана в цифрах: итоги 2018 года

17.04.2019 Саидакбар Садиков
Темпы роста количества доменов «UZ» указывает на положительное развитие отрасли информационно-коммуникационных технологий в стране...
Кибербезопасность Узбекистана в цифрах: итоги 2018 года

Темпы роста количества доменов «UZ» указывает на положительное развитие отрасли информационно-коммуникационных технологий в стране.

В настоящее время национальная доменная зона «UZ» насчитывает более 66 000 активных доменов. В 2017 году в Узбекистане насчитывалось около 53 000 активных доменов, а в 2018 году их количество возросло до 65 000.

Вместе с тем, по итогам мониторинга национального сегмента сети Интернет, Центром технического содействия в течение 2018 года выявлено 475 инцидентов информационной безопасности (статистика приведена в таблице 1), в отношении веб-сайтов доменной зоны «UZ», а по характеру инцидентов они распределились по следующим типам:

Таблица № 1

Типы инцидентов ИБ Количество инцидентов
в 2017 г.
Количество инцидентов
в 2018 г.
Сравнение 2018 г. с аналогичным периодом 2017 г.
Общее количество инцидентов 669 475 Уменьшение на 194 (29%)
Несанкционированная загрузка контента 322 245 Уменьшение на 77 (24%)
Изменение главной страницы (дефейс) 345 223 Уменьшение на 122 (37%)
Спам-рассылка 0 2  
Размещение фишингового контента 2 0  
DDoS-атаки 0 5  

Процентное соотношение числа конкретных видов атак за 2018 год выглядит следующим образом:

d1.png

Диаграмма № 1: Типы выявленных инцидентов ИБ в процентном соотношении

Сравнительный анализ количества инцидентов в 2017 и 2018 годах показали на положительную тенденцию, а именно снижение количества инцидентов на информационные ресурсы домена «UZ» (диаграмма № 2). При сравнении с показателями 2017 года количество выявленных инцидентов ИБ за 2018 год уменьшилось на 29 %.

d2.png

Диаграмма № 2: Динамика по количеству инцидентов в 2017-2018 гг.

Из уже упоминавшихся 475 инцидентов информационной безопасности, Центр принял непосредственное участие в проведении расследования причин и последствий инцидентов ИБ в 195 случаях, подготовив для владельцев пострадавших веб-сайтов практические рекомендации по устранению выявленных уязвимостей, а в 118 случаях необходимую работу провели сами администраторы веб-сайтов.

В отношении оставшихся 162 несанкционированного вмешательства в работу доменной зоны «UZ» также, совместно с хостинг провайдерами, приняты необходимые меры, что позволило избежать угрозы распространения вирусного контента на смежные системы.

Детальный анализ инцидентов ИБ, выявленных в 2018 году, показало, что, среди систем управления контентом (CMS), наибольшую подверженность к угрозам ИБ показывает самый популярный среди веб-разработчиков Узбекистана, система управления содержимым «WordPress»:

d3.png  

Диаграмма № 3: Подверженность систем управления контентом к угрозам ИБ в 2018 г.

Также, установлено, что 75 % взломанных веб-сайтов размещались на технических площадках хостинг-провайдеров Узбекистана, а остальные 25 % – на хостинге в зарубежных странах (диаграмма № 4).

d4.png   

Диаграмма № 4: Обнаруженные в 2018 году инциденты ИБ
в разрезе хостинг провайдеров, в процентном соотношении

Анализ выявленных несанкционированных вмешательств в работу веб-сайтов госорганов в 2017 и 2018 годах приведен в таблице 2:

Таблица № 2

Типы инцидентов Кол-во инцидентов за 2017 г. Кол-во инцидентов за 2018 г. Сравнение
с аналогичным периодом 2017 2018 гг.
Общее количество инцидентов 72 14 Уменьшение на 58 (81%)
Из них:
Несанкционированная загрузка постороннего контента 12 7 Уменьшение
на 5 (42%)
Изменение главной страницы (дефейс) 60 0 Уменьшение
на 60
Спам-рассылка 0 2 В 2017 году не выявлено
DDoS-атаки 0 5 В 2017 году не выявлено


В 2018 году наибольшее количество инцидентов информационной безопасности, выявленных на веб-сайтах государственных органов, совершены в отношении веб-сайтов, функционирующих на CMS «WordPress»:

d5.png

Диаграмма № 5: Подверженность систем управления контентом в государственных органах

В ходе расследования инцидентов информационной безопасности веб-сайтов доменной зоны «UZ» стали следующие упущения разработчиков и администраторов веб-сайтов:

  • использование и несвоевременное обновление устаревших версий CMS и их дополнений (модули, плагины, темы), которые содержат в своем коде ошибки безопасности либо вредоносный контент;
  • небезопасные учетные записи (логин и пароль) доступа в административную панель управления веб-сайтом;
  • шаблоны и расширения, скачанные из небезопасных источников;
  • наличие вирусов на компьютерах, на которых работали администраторы веб-сайтов;
  • ошибки в скриптах, которые используются на веб-сайте;
  • недостаток внимания к мерам по защите веб-сайтов.

Инциденты связанные с информационной безопасностью информационных систем государственных органов в межведомственной сети передачи данных

С 2018 года Центром осуществляется постоянный мониторинг событий информационной безопасности информационных систем государственных органов, подключенных к Межведомственной сети передачи данных электронного правительства.

В ходе мониторинга событий информационной безопасности в информационных системах государственных органов за 2018 и первый квартал 2019 года, выявлено 54 953 759 событий информационной безопасности. Из них, высокую степень риска представляют 2 502 353 событий.

 d6.png

Диаграмма № 6: Сравнение основных критических событий за 2018 и I квартал 2019 года

Анализ событий информационной безопасности в сравнении с показателями 2019 с 2018 годом, указывает на уменьшение их количества. В то же время, нельзя забывать, что выявленные события могут являться попыткой несанкционированного доступа к системе, осуществляемой злоумышленником. В целях оперативного реагирования на выявленные события, Центром своевременно ведется работа по оповещению владельцев информационных систем государственных органов о необходимости принятия соответствующих мер защиты и реагирования.

Данные события выявлены при:

  • неправильной аутентификации пользователей;
  • перебор пароля (атака «brute force»)
  • подключение информационных систем к внешней сети Интернет;
  • использование VPN-сервисов;
  • заражение системы вредоносным программным обеспечением;
  • нацеленные атаки типа SQL-инъекции.



Рекомендации по защите веб-сайтов

Учитывая изложенное, а также в целях устранения угроз информационной безопасности, рекомендуется принять следующие организационно-технические меры по защите веб-сайтов:

Регулярное установление обновлений

Начальные действия злоумышленника при планировании атаки – это проверка наличия на веб-сайте неисправленных и общеизвестных уязвимостей. Как правило, любая обнаруженная уязвимость для популярных CMS и плагинов, провоцирует активный поиск злоумышленниками веб-сайтов с устаревшими CMS, и как следствие такие веб-сайты становятся объектами массового нецеленаправленного взлома, известного как «mass defacement».

Резервное копирование (backup)

Суть резервного копирования сайта сводится к копированию баз данных, файлов сайта, почты, FTP-аккаунтов и множества других параметров хостинга. Резервное копирование можно делать встроенными в CMS сайта средствами, специальным плагином, через инструментарий, предлагаемый хостинг-провайдером, или любым другим удобным способом.

Удаление неиспользуемых плагинов

Любой новый плагин или расширение увеличивает вероятность риска атаки со стороны злоумышленников. В этой связи, рекомендуется отключить и удалить неиспользуемые плагины и по возможности использовать встроенные механизмы вместо установки плагина на каждый частный случай.

Усиление парольной аутентификации

Для административного аккаунта в CMS, личного кабинета на сайте сервис-провайдера и учётной записи на сервере (например, для выделенного или «co-location» хостинга) настоятельно рекомендуется использовать сложный и неповторяющийся на других сервисах и сайтах пароль. При изменении пароля рекомендуется использовать правила формирования паролей для учетных записей, предусматривающую генерацию паролей с использованием цифр, специальных символов, букв верхнего и нижнего регистра с минимальной длинной в 8 символов. Рекомендуется настроить двухфакторную аутентификацию (при наличии такой возможности). Также рекомендуется установить ограничение количества попыток входа в панель администрирования (защита от атак методом перебора паролей, т.н. «brutforce»).

Безопасное администрирование

Доступ в административный аккаунт в CMS, личный кабинет на сайте сервис-провайдера и учётную запись на сервере рекомендуется осуществлять с устройств (компьютеры, планшеты), на которых установлены антивирусные программные средства с актуальными базами вирусных сигнатур.

Плагины безопасности

Для обеспечения защиты веб-сайта от различных атак, рекомендуется использовать плагины безопасности с функциями поиска, удаления и защиты в дальнейшем от вредоносных программ.

Проведение экспертизы веб-сайта

На постоянной основе проводить экспертизу веб-сайта на соответствие требованиям информационной безопасности, а также на наличие уязвимостей.




Рекомендации по защите корпоративных сетей

Установление необходимых программно-технических средств, а также средств защиты информации для предотвращения внутренних угроз информационной безопасности.

Повышение квалификации и уровня знании информационно-коммуникационных технологий и информационной безопасности пользователей (сотрудников), работающие непосредственно с информационными системами.

Не использовать информационные системы, взаимодействующие в рамках межведомственной сети передачи данных с другими информационными системами, через глобальную сеть интернет.




Вывод:

Принятие вышеуказанных и других дополнительных мер защиты позволит существенно снизить риски угроз информационной безопасности в отношении веб-сайтов, что в свою очередь даст возможность оградить себя от вероятных атак и последующей необходимости устранять причины и последствия инцидентов информационной безопасности.