External Remote Services Рекомендации по обеспечению безопасности внешнего периметра Чтобы обезопасить внешний периметр организации, к защите важно подходить системно и проактивно. Ниже мы даем семь рекомендаций, которые помогут идентифицировать внешние активы, управлять ими, защищать их, минимизируя риски эксплуатации уязвимостей и других атак. 1. Проведите полную инвентаризацию активов. Что нужно сделать, чтобы приоритизировать защиту или обнаружить несанкционированные сервисы: Создайте базу данных управления конфигурацией (configuration management database, CMDB), которая включает: Публично доступные IP-адреса и домены, принадлежащие организации. Список сервисов и приложений, работающих на этих IP-адресов, с указанием портов, протоколов и версий ПО. Информацию о владельцах активов (например, ответственных командах или подразделениях). Используйте инструменты автоматического обнаружения (например, Nmap, Shodan, Censys или коммерческие EASM-решения), чтобы определить внешнюю поверхность атаки. Сопоставьте результаты с внутренними записями для выявления теневых IT (shadow IT) или забытых активов. Занесите данные в CMDB, обеспечив доступ для ответственных команд, а также регулярное обновление. 2. Создайте процесс публикации сервисов в интернете. Публикацию любых сервисов в интернете должны согласовать: Специалисты по кибербезопасности. Они проверяют, не содержит ли сервис уязвимостей с известными эксплоитами, подключен ли хост к системе мониторинга, логируется ли доступ к веб-ресурсам. Сотрудники IT-подразделений. Они отвечают за комплексный мониторинг: observability, availability, maintainability и другие типы мониторинга. Что нужно сделать, чтобы снизить риски появления shadow IT и уменьшить поверхность атаки: Выстройте процесс согласования публикации сервисов. Назначьте ответственного за контроль исполнения регламента. 3. Минимизируйте поверхность атаки. После инвентаризации оцените необходимость каждого открытого сервиса: Отключите неиспользуемые порты и протоколы. Оставьте открытыми только необходимые порты (например, 443 для веб-сервисов). Используйте VPN-подключение для всего, что возможно. Определите, какие сервисы можно переместить во внутреннюю сеть, а для каких нужно ограничить доступ, разрешив его только через VPN. Внедрите сегментацию сети. Используйте межсетевые экраны для создания выделенной DMZ и реализуйте доступ по модели нулевого доверия (zero trust), предоставляя внешний доступ только к необходимым сервисам. Что нужно сделать, чтобы уменьшить возможности для злоумышленников и сделать их действия более предсказуемыми: Оцените риски с участием заинтересованных сторон, чтобы обосновать необходимость каждого внешнего сервиса. Замените небезопасные протоколы (например, Telnet) на защищенные альтернативы (SSH или VPN) с использованием 2FA. Используйте обратные прокси или балансировщики нагрузки для маскировки серверных служб и снижения прямого воздействия извне. 4. Настройте непрерывный мониторинг и оповещения. Внешний периметр динамичен: новые сервисы или некорректные настройки появляются регулярно. Поэтому необходим независимый источник информации о нем. Непрерывный мониторинг помогает оперативно обнаруживать несанкционированные изменения и запрещать злоумышленникам эксплуатацию новых сервисов. Что нужно сделать: Настройте автоматическое сканирование (ежедневное или еженедельное) для обнаружения новых IP-адресов, сервисов или портов. Настройте оповещения о несанкционированных изменениях, например о новых сервисах, не внесенных в CMDB. Интегрируйте систему мониторинга с платформой SIEM (security information and event management) для централизованного анализа и корреляции событий безопасности. Регулярно проводите ручной OSINT-анализ, чтобы выявлять неучтенные и непокрытые IP-адреса и домены. 5. Внедрите проактивное управление уязвимостями. Регулярные проверки на уязвимости критически важны для выявления и устранения слабых мест в открытых сервисах. Эту работу можно совместить с непрерывным мониторингом. Что нужно сделать: Чтобы выявить известные уязвимости, используйте специализированные сканеры. Выстройте процесс управления уязвимостями: Приоритизируйте устранение уязвимостей на основе их критичности и доступности эксплоитов. Внедрите процесс управления обновлениями. Установка патчей должна выполняться в заранее определенные сроки. Периодически проводите тестирование на проникновение (пентест) для выявления сложных уязвимостей, которые не обнаруживаются автоматическими сканерами. 6. Регулярно проводите аудит и обновляйте меры защиты Ландшафт угроз постоянно меняется: появляются новые уязвимости, злоумышленники внедряют новые инструменты и методы атак. Без системного и проактивного подхода к защите внешнего периметра есть риск упустить новые векторы атак, не успеть своевременно нейтрализовать угрозы. Что нужно делать: Проводите ежеквартальные проверки CMDB на актуальность и полноту данных. Анализируйте правила межсетевых экранов, настройки доступа и мониторинга на соответствие политикам безопасности. Отслеживайте новые угрозы через каналы киберразведки, чтобы своевременно корректировать систему защиты, а также быть в курсе уязвимостей, которые активно эксплуатируются. 7. Развивайте багбаунти-программу. В отличие от разовых аудитов или пентестов, багбаунти-программа работает постоянно и обеспечивает непрерывный мониторинг. Этот пункт применим для компаний со зрелыми и выстроенными процессами кибербезопасности. Что нужно сделать: Определите границы программы (какие сервисы, приложения, элементы инфраструктуры доступны для проверки). Выберите модель работы: публичная программа (для всех исследователей) или приватная (для ограниченного круга специалистов). Сформулируйте правила взаимодействия: что считается уязвимостью, какие векторы атак запрещены (например, социальная инженерия). Определите приоритеты и размер вознаграждения. Интегрируйте багбаунти-процессы во внутреннюю систему управления уязвимостями (vulnerability management). Отсутствие фильтрации в почте Атакующие часто проникают в инфраструктуру с помощью вредоносных почтовых сообщений, имитирующих легитимные. По данным исследования Threat Zone 2025 , фишинг остается самым популярным методом получения первоначального доступа — его используют в 57% атак. До сих пор более 3% сотрудников компаний переходят по фишинговой ссылке в атаках, нацеленных на конечного пользователя (содержат посылы «вы выиграли», «скидка скоро сгорит» и подобные). Обычно цель таких атак — выманить персональную информацию или данные платежных карт. И более 37% сотрудников кликают по ссылке из таргетированного фишингового письма. Об этом говорят данные BI.ZONE Security Fitness . Чем ниже эффективность фильтрации в электронной почте, тем выше риск успешного фишинга. Пример фишингового письма Проблемы, связанные с отсутствием фильтрации: Пропуск фишинговых писем. Без современных систем фильтрации (например, антиспам- и антифишинг-решений) вредоносные письма достигают пользователей, увеличивая вероятность компрометации учетных данных или заражения систем. Отсутствие анализа вложений и ссылок. Ненастроенные или устаревшие фильтры не проверяют вложения (например, PDF, DOCX) и URL-адреса на наличие вредоносного кода, что приводит к его исполнению. Недостаточная защита от целевых атак (spear phishing). Отсутствие машинного обучения или анализа поведения — технологий, применяемых в песочницах, — позволяет целевым атакам, замаскированным под легитимные письма, проходить незамеченными. Отсутствие DMARC/DKIM/SPF. Неправильная настройка или отсутствие этих протоколов увеличивает риск спуфинга домена, когда атакующие подделывают отправителя. Одна из разновидностей фишинга — атаки типа fake boss через мессенджеры. Злоумышленники притворяются руководителями компании, чтобы подтолкнуть сотрудников выполнить указания: перевести деньги, раскрыть конфиденциальную информацию или запустить вредоносное ПО. Сообщение якобы от лица руководителя компании Атака типа fake boss, направленная на сотрудников BI.ZONE MITRE ATT&CK Source: https://habr.com/ru/companies/bizone/articles/962486/