🚨 Saugumas pirmas: ką išmokome iš LVM atako

Evoex jau kurį laiką dirbame kitaip. Nė vienas kodo eilutė nepasieks klientų be pilnos saugos audito, serveriai neturi išorinių "durų", į kurias galima pasibakstyti, ir jei kas nors vis dėlto mėgins - sistema tai nužiūri ir užblokuoja per sekundes, o ne po to, kai jau kas nors atsitiko. Kaip tai atrodo praktikoje ir kodėl tame jau investavome kelis tūkstančius eurų!
Šiais Jono dienomis IT sektoriuje atsitiko kažkas, ką sunku pamiršti - ataka į Latvijos Valstybinių miškų IT infrastruktūrą. Ataka buvo aptikta 2026 m. birželio 22 d., tačiau vėliau paaiškėjo, kad įsilaužėlis sistemoje buvo jau nuo birželio 11 d. ir kelias dienas veikė nepastebimai, aktyviai pradėjęs tik naktį nuo birželio 22 d. iki 23 d. Atsakomybę už ataką prisiėmė ransomware gruperis - tas pats atakų tipas, kuris pastaraisiais metais vis dažniau pasitaiko tiek viešajame, tiek privačiame sektoriuje. Kai kurie šaltiniai nurodytus konkrečią išpirkos sumą, bet LVM tai oficialiai neigia, todėl čia sukoncentruosimės tik į patvirtintus faktus: įmonė buvo priversta išjungti visą IT infrastruktūrą, kelios viešos sistemos (LVM GEO, medžioklės programa Mednis) ir vidinės paslaugos buvo neprieinamos kelias dienas.
Tai priminė visiems, kurie dirba šioje srityje, vieną paprastą, bet nemalonią tiesą: jei saugumą rūpinantis tik tada, kai kažkas jau atsitiko, jau per vėlu. LVM atveju užpuoliko įsilaužėlis kelias dienas galėjo veikti sistemoje, nes nebuvo priemonių, kurios laiku pastebėtų anomalijas - šią situaciją vėliau apibūdino ir Ministrų pirmininkas. Konfigūracijos trūkumai ir neaprastyti saugumo skylės sistemoje gali ilgai likti nepastebėtos, kol jas kas nors aptiks - ir deja, dažnai tai nėra žmogus, kuris tai turėtų padaryti.
Kai mes plėtrojome Evoex infrastruktūrą, pasirinkome priešingą kelią. Ne laukti ir reaguoti, o stengtis iš viso išvengti problemų atsiradimo.
Saugumas prasideda prieš kodą pasiekiant serverį
Mūsų plėtojimo procese nė viena permaina nepasieks gamybos serverio be pilno automatinio patikrinimo. Kiekvienas naujas kodo segmentas realiu laiku analizuojamas specializuotomis saugos priemonėmis, paremtomis pasaulyje pripažintais OWASP Top 10 principais - tai yra standartai, naudojami dažniausių ir pavojingiausių pažeidžiamumų aptikimui.
Jei priemonės nustato net mažą riziką, permaina nėra diegiama toliau. Sistema pati bando taisyti probleminę kodo dalį, iš naujo ją tikrina, ir procesas tęsiasi, kol rizika yra tiksliai lygi nuliui. Tik tada permaina gali pasiekti naudotojus.
LVM atveju buvo demonstruota, kad sistema gali atrodyt normaliai veikianti, nors užpuoliko jau dienomis yra viduje - ir be tinkamų priemonių tai gali būti nepastebėta.
Mūsų požiūryje tai nėra kraštuutinis atvejis, bet pagrindinis scenarijus, prieš kurį konstruojame nuo pirmos dienos: minimali prieiga, izoliuotos sistemos ir nuolatinis automatinis auditas, o ne pasitikėjimas tuo, kad kažkas žmogus kartą per metus viską peržiūrės.

Toks pranešimas pasiekia mūsų komandą kiekvieną kartą, kai permaina praeina per pilną saugos audito ir automatinio taisymo ciklą prieš diegimą.
Serveriai, kurių nėra ką prarasti iš lauko
Vienas iš paprasčiausių, tačiau dažnai pamirštų saugos principų - jei durų nėra atvertos, per jas negali įsilaužti. Mūsų serveriai veikia Hetzner infrastruktūroje, ir mes visiškai uždarėme išorinius prieigos prievadus, kurie paprastai naudojami nuotolinei prieigai prie serverio.
Vietoj to serveris pats, iš vidaus, patikrina autorizuotą kodo saugyklą ir, kai viskas patikrinta ir saugi, atnaujinimus persigrupuoja. Niekas negali "pasibakstyti" iš lauko, nes duru čia tiesiog nėra.
Be to, svetainėse yra įdiegti griežti saugos antraštės (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy), kurie apsaugo naudotojus nuo duomenų perimavimo, svetainių klonravimo ir kitų dažnų atakų tipų.
Kai kas nors vis dėlto mėgins...
Visiškai išvengti atakų mėginimų neįmanoma - internetas pilnas automatizuotų botų, kurie nuolat skenuoja svetaines ir ieško silpnų vietų. Todėl sukūrėme savo sistemą, kuri šiuos mėginimus aptinka ir iš karto reaguoja.
Jei nustatomos, pavyzdžiui, brute-force atakos bandymai arba įtartinas skenavimas, užpuoliko IP adresas iš karto užblokuojamas ugniasienos lygyje. Bet darbas tuo nesibaigia - mūsų sukurta analizės priemonė iš karto pradeda tirti įvykį: kokie buvo prašymai, koks buvo jų šablonas, ką užpuoliko bandė pasiekti.
Rezultatas - trumpa, suprantama ataskaita lietuvių kalba, kuri iš karto pasiekia mūsų programuotojų komandos Discord kanalą.
Be to, šiuo metu kuriame ir vadinamąją "page-call" arba on-call perspėjimų sistemą - sprendimą, kuris rimtų incidentų atveju automatiškai paskambina atsakingam plėtotojui į telefoną, nepaisant paros laiko, kad reagavimas įvyktų ne tik tada, kai kažkas pats iniciatyvos dėka patikrina Discord kanalą.Taigi, ne tik sustabdome mėginimą, bet ir žinome, kas tiksliai atsitiko.


Tikras pavyzdys iš mūsų sistemos - įtartinas prašymas iš karto užblokuojamas, o kas valandą automatiškai sudaroma santrauka apie visus mėginimus, jų šaltinį ir tikėtiną tikslą
Ką tai reiškia klientui
Pasirinkus Evoex, klientas gauna ne tik svetainę ar sistemą - jis gauna infrastruktūrą, kurioje saugumas nėra atgalinis mintis, o pagrindas.
Šiandien ransomware ataka retai yra tik techninis uždavinys - tai verslo tęstinumo rizika. LVM atveju kelias dienas nebuvos pasiekiamos nei viešos, nei vidinės paslaugos, kelių dienų prastova ir galimą duomenų nutekėjimas gali kainuoti įmonei nepalyginamai daugiau nei investicija į profilaktiką.
Praktikoje tai reiškia kelis konkrečius dalykus, kuriuos darysime ir kuriuos rekomenduojame ir mūsų klientams:
Reguliarios atsarginės kopijos su tikrai išbandyta atkūrimo procedūra, o ne kopijos, kurių veikimas niekada nebuvo patikrintas.
Prieigos ir leidimų valdymas pagal minimaliai būtino principo, kad vienas pažeistas prieiga nesuteiktų galimybės pasiekti visą sistemą.
Nuolatinis stebėjimas ir anomalijų nustatymas, o ne pasitikėjimas metiniais auditais.
Segmentuota infrastruktūra, kad vienos sistemos dalies problema neperlietųsi į visą įmonę.
Klaidų šalinimas prieš diegimą, o ne po to, kai kažkas jau nutiko internete.
Atnaujinimai fone, be nutraukimų, kad svetainės ir portalai toliau veiktų nepertraukiamai.
Kibernetinis saugumas nėra procesas, kurį galima "kartą sutvarkyti ir pamiršti". Tai yra nuolatinis darbas. Ir mums atrodo - kuo mažiau mūsų klientai turi juo nerimasti, tuo geriau mes tai darysime.
Kodėl apie tai kalbame
Mes to visko nesudarėme todėl, kad kas nors iš mūsų tai reikalavo. Per paskutiniuosius metus investavome kelis tūkstančius eurų, norėdami šią sistemą pastatyti ir toliau kurti - laiką, priemones ir mūsų pačių sukurtą programinę įrangą, kuri šiandien veikia fone, nepertraukiamai, kiekvieną dieną.
Tai nėra vienkartinė investicija, kurią galima pažymėti ir pamiršti - tai infrastruktūra, kurioje toliau investuojame, nes žinome, kad atakų metodai keičiasi greičiau, nei dauguma įmonių gali reaguoti.
LVM atveju buvo parodyta, kad net didelėms kompanijoms su ištekliais gali trūkti kaip tik šito - sistemos, kuri pati pastebėtų problemą, prieš ji tampa krizė.
Tai reiškia, kad klientas, kuris pasirinks EvoEx, neturi nerimasti, ar jo duomenys ir sistema yra apsaugoti likučio principu. Saugumas nėra papildoma paslauga, kurią galima pridėti vėliau - jis jau yra įmontuotas kiekviename projekte, kurį mes kuriame.
Jei tave domina, kaip tavo svetainė ar sistema atrodo iš šono saugumo požiūriu, susisiek su mumis - kartu įvertinsime ir pasakysime tiesiai, kur yra rizikos ir ką su jomis daryti.
Užsiregistruok auditui - Evoex Audits nuo 390 EUR

Susijusios paslaugos
Pasiruošęs pradėti savo projektą?
Papasakok apie savo idėją — el. paštu atsiųsime pasiūlytą laiką vaizdo skambučiui, kuriame aptarsime detales ir paruošime pasiūlymą.
