Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала информационное сообщение о мерах защиты информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
К этим мерам ФСТЭК относит :
- обновление программного обеспечения до актуальных версий;
- выявление, анализ и оперативное устранение выявленных уязвимостей информационной (автоматизированной) системы;
- обнаружение и реагирование на поступление в информационную (автоматизированную) систему незапрашиваемых электронных сообщений (электронных писем, документов);
- периодическое резервное копирование информации и обеспечение возможности восстановления информации с резервных носителей;
- защита периметра информационной (автоматизированной) системы (исключение доступа к ТСР-портам 139 и 445).
Кроме того, защита от угроз безопасности информации, связанных с проникновением вредоносного программного обеспечения, обеспечивается применением средств антивирусной защиты, в которых реализованы эвристические методы выявления вредоносного программного обеспечения, систем обнаружения (предупреждения) вторжений (атак), в которых настроены соответствующие решающие правила, а также систем управления и корреляции событий с настроенными индикаторами на действия вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Напомним, в мае-июне 2017 года отмечены масштабные компьютерные инциденты, связанные с проникновением в информационные и автоматизированные системы, в том числе системы органов государственной власти и организаций Российской Федерации, вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Как пишет ФСТЭК, анализ компьютерных инцидентов и вредоносного программного обеспечения показал, что проникновение этих вирусов в IT-системы и их распространение осуществляется за счет эксплуатации уязвимости операционной системы Windows и пакета программ Microsoft Office (BDU:2017-01034), а также уязвимостей протокола SMB v.1 (BDU:2017-01095, BDU:2017-01096, BDU:2017-01097, BDU:2017-01098, BDU:2017-01099, BDU:2017-01100), позволяющих нарушителю выполнить произвольный код.
После успешного проникновения в информационную систему для распространения некоторых модификаций вредоносного программного обеспечения (Petya/ExPetr) используются методы перехвата учётных данных привилегированных пользователей. Таким образом, наличие указанных уязвимостей даже на одном компьютере локальной вычислительной сети компьютера ставит под угрозу все компьютеры данной системы, отмечается в сообщении.
ФСТЭК отмечает, что при контроле состояния технической защиты информации в информационных (автоматизированных) системах органов государственной власти и организаций выявляет нарушения требований по защите информации.
Как писал D-Russia.ru, ранее ФСТЭК уже заявляла, что проникновение вируса WannaCry в государственные IT-системы произошло по вине тех, кто их эксплуатирует, поскольку патч, закрывающий уязвимость, был своевременно разрешён ФСТЭК к установке.
