CISA: сети по всему миру в прицеле китайских хакеров

Агентства по кибербезопасности США, Австралии, Канады, Новой Зеландии и Великобритании опубликовали совместное предупреждение о шпионской активности китайских хакеров. Злоумышленники скомпрометировали сети ведущих мировых телекоммуникационных компаний для проведения масштабной кампании по сбору разведывательных данных.

Согласно отчету, атакующие используют уязвимости в инфраструктуре телекоммуникационных сетей для проникновения и последующего сбора информации. Основной акцент делается на компрометацию сетевых устройств – маршрутизаторы, коммутаторы и файрволы. Эксперты отмечают, что злоумышленники активно используют известные уязвимости в конфигурации сетевых устройств, однако признаков применения новых методов пока не выявлено.

Рекомендации по повышению безопасности

Ключевые меры по защите сетей включают в себя:

• Мониторинг конфигураций. Необходимо отслеживать все изменения конфигураций сетевых устройств, выявлять и анализировать подозрительные модификации. Эксперты советуют использовать централизованное хранение конфигураций, исключая возможность управления устройствами напрямую.
• Анализ сетевого трафика. Для мониторинга передачи данных рекомендуется размещать системы сбора трафика на ключевых узлах сетей, что позволяет быстро выявлять аномалии и потенциальные угрозы.
• Защита логов. Логи систем должны быть зашифрованы и храниться в нескольких местах, чтобы исключить их потерю или несанкционированное изменение. Предлагается использовать централизованные системы логирования с возможностью анализа больших объемов данных.

Авторы документа подчеркивают важность сегментации сетей. VLAN (Virtual Local Area Networks) и демилитаризованная зона (Demilitarized Zone, DMZ) помогают изолировать критически важные системы от внешних угроз. Также рекомендуется ограничить доступ к устройствам через интернет. Управление должно осуществляться только с доверенных устройств через защищенные каналы связи.

Дополнительно рекомендуется отключать неиспользуемые протоколы, такие как Telnet, FTP и устаревшие версии SSH. Важным элементом является переход на современные стандарты шифрования, такие как TLS 1.3 и AES-256, чтобы уменьшить вероятность успешной эксплуатации уязвимостей.

Эксперты выделили оборудование Cisco как одно из наиболее часто подвергающихся атакам. Для минимизации рисков рекомендуется отключить сервисы Cisco Smart Install и внедрить более строгую защиту паролей. Также предлагается использовать обновленные версии ПО и избегать применения устаревших алгоритмов шифрования.

Одной из ключевых задач является повышение уровня видимости процессов в сетях. Это подразумевает способность организаций отслеживать, анализировать и понимать происходящее в инфраструктуре. Высокий уровень видимости позволяет быстро выявлять угрозы, аномалии и уязвимости. Для достижения таких целей рекомендуется внедрение SIEM-решений, которые способны собирать и анализировать данные из различных источников.

Дополнительно предлагается проводить аудит всех сетевых устройств, включая проверку учетных записей пользователей и отключение неактивных учетных записей. Устройства должны быть защищены от удаленного управления с несанкционированных источников.

Документ также акцентирует внимание на важности применения подхода «безопасность по умолчанию» (Secure by Design) при разработке программного обеспечения и сетевых устройств. Метод подразумевает, что производители оборудования и ПО должны закладывать максимальный уровень защиты на этапе разработки. Организациям же рекомендуется требовать от поставщиков соблюдения таких принципов.

Кибератаки, связанные с Китаем, продолжают представлять серьезную угрозу для глобальных телекоммуникационных сетей. Эксперты подчеркивают важность своевременного реагирования на угрозы, устранения уязвимостей и применения современных методов защиты. Организациям критической инфраструктуры настоятельно рекомендуется внедрить описанные меры для повышения устойчивости кибербезопасности.