ФСТЭК обнаружила 12 типовых ошибок в настройке ПО, которыми пользуются хакеры
Фото: freepik
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) выпустила методические рекомендации по устранению распространённых уязвимостей в настройке программного обеспечения. В документе детально рассматриваются проблемы конфигурации, которые могут быть использованы злоумышленниками для неправомерного доступа к информационным системам и утечки конфиденциальных данных. Вся информация размещена на официальном сайте ведомства для широкого доступа.
ФСТЭК выделила двенадцать уязвимостей, угрожающих информационной безопасности организаций. К ним относятся:
Применение слабых паролей, легко поддающихся взлому и компрометации.
Отсутствие строгой многофакторной аутентификации при доступе к базам данных, что повышает риск несанкционированного проникновения и утечек информации.
Сохранение устаревших протоколов SMBv1 и NTLMv1 в операционных системах Windows, которые могут быть использованы для проведения кибератак.
Существование учётной записи «Гость» в группе «Администраторы», что предоставляет злоумышленникам повышенные права доступа к системе.
Рекомендации ФСТЭК по повышению уровня информационной безопасности включают:
Шифрование учётных данных.
Закрытие всех неиспользуемых портов.
Отключение автоматического входа на серверах Windows.
Настройку SSH-серверов с ограничением доступа по паролю и минимальными привилегиями.
Соблюдение принципа минимальных привилегий при предоставлении доступа к файлам.
Отключение неиспользуемых служб, компонентов и учётных записей с избыточными правами.
Вопрос защиты информации и правильной настройки информационных систем становится особенно важным в условиях растущих киберугроз. В Москве подвели итоги XI сезона Национальной технологической олимпиады для школьников по направлению «Информационная безопасность», организованной Национальным исследовательским ядерным университетом МИФИ. В финале приняли участие 99 школьников из 18 регионов России. Задания олимпиады, включавшие около 30 кейсов по веб-безопасности, криптографии, цифровой криминалистике и реверс-инжинирингу, были разработаны ведущими компаниями в области информационной безопасности, такими как «Росатом» и «Группа Астра». Участники выступали в роли стажёров служб информационной безопасности, что позволило им получить ценный практический опыт.
