EvoEX
← Visi rakstiKiberdroŔība, serveri

🚨 DroŔība mums ir pāri visam: ko mācāmies no LVM uzbrukuma

07.07.20265 min lasīŔanai
🚨 DroŔība mums ir pāri visam: ko mācāmies no LVM uzbrukuma

Mēs Evoex jau kādu laiku strādājam citādi. Neviens koda gabals nenonāk pie klientiem bez pilna droŔības audita, serveriem nav ārējo "durvju", kurās klauvēt, un ja kāds tomēr mēģina - sistēma to pamana un bloķē sekundēs, ne pēc tam, kad kaut kas jau ir noticis. Kā tas izskatās praksē un kāpēc tajā esam ieguldÄ«juÅ”i vairākus tÅ«kstoÅ”us eiro !

Å Ä« gada Jāņu brÄ«vdienās Latvijas IT nozarē notika kaut kas tāds, ko grÅ«ti aizmirst - uzbrukums Latvijas Valsts Mežu IT infrastruktÅ«rai. Uzbrukums tika atklāts 2026. gada 22. jÅ«nijā, taču vēlāk noskaidrojās, ka hakeris sistēmā bija iekļuvis jau 11. jÅ«nijā un vairākas dienas darbojies nepamanÄ«ts, aktÄ«vi rÄ«koties sākot tikai naktÄ« no 22. uz 23. jÅ«niju. AtbildÄ«bu par uzbrukumu uzņēmies ransomware jeb izspiedējvÄ«rusa grupējums - tāds pats uzbrukumu tips, kas pēdējos gados arvien biežāk skāris arÄ« citas valsts un privātā sektora organizācijas. Daži avoti min pat konkrētu izpirkuma maksas summu, ko uzbrucējs pieprasÄ«jis, taču LVM to oficiāli noliedz, tāpēc Å”eit koncentrēsimies uz to, kas ir apstiprināts: uzņēmums bija spiests atslēgt visu IT infrastruktÅ«ru, vairākas publiskās sistēmas (LVM GEO, medÄ«bu lietotne Mednis) un iekŔējie servisi bija nepieejami vairākas dienas.

Tas atgādināja visiem, kas strādā Å”ajā jomā, vienu vienkārÅ”u, bet nepatÄ«kamu patiesÄ«bu: ja droŔību risina tikai tad, kad kaut kas jau ir noticis, ir jau par vēlu. LVM gadÄ«jumā uzbrucējs vairākas dienas varēja darboties sistēmā, jo nebija rÄ«ku, kas laikus pamanÄ«tu anomālijas - tā Å”o situāciju vēlāk raksturoja arÄ« Ministru prezidents. Konfigurācijas nepilnÄ«bas un neatklāti caurumi sistēmā var ilgstoÅ”i palikt nemanÄ«ti, lÄ«dz kāds tos atrod - un diemžēl bieži vien tas nav tas cilvēks, kuram vajadzētu.

Kad mēs Evoex plānojām savu infrastruktÅ«ru, izvēlējāmies pretēju ceļu. Nevis gaidÄ«t un reaģēt, bet censties nepieļaut problēmu raÅ”anos vispār.

DroŔība sākas pirms koda nonākŔanas serverī

MÅ«su izstrādes procesā neviena izmaiņa nenonāk ražoÅ”anas serverÄ« bez pilnas automatizētas pārbaudes. Katru jauno koda gabalu reāllaikā analizē specializēti droŔības rÄ«ki, kas balstÄ«ti uz pasaulē atzÄ«tajiem OWASP Top 10 principiem - tas ir standarts, ko izmanto, lai atklātu biežākos un bÄ«stamākos ievainojamÄ«bu veidus.

Ja rīki pamana kaut vai nelielu risku, izmaiņa netiek laistas tālāk. Sistēma pati mēģina labot problemātisko koda daļu, atkārtoti to pārbauda, un process turpinās, kamēr risku skaits nav precīzi nulle. Tikai tad izmaiņas var nonākt pie lietotājiem.

LVM gadÄ«jums parādÄ«ja, ka sistēma var Ŕķist strādājam normāli, kamēr uzbrucējs jau dienām ir iekŔā - un ka bez pareiziem rÄ«kiem to var vienkārÅ”i nepamanÄ«t.

MÅ«su pieejā tas nav malas gadÄ«jums, bet galvenais scenārijs, pret ko projektējam jau no pirmās dienas: minimāla piekļuve, nodalÄ«tas sistēmas un pastāvÄ«ga automātiska auditēŔana, nevis paļauÅ”anās uz to, ka kāds cilvēks reizi gadā visu pārskatÄ«s.

Šāds paziņojums nonāk pie mÅ«su komandas ikreiz, kad izmaiņas iet cauri pilnajam droŔības audita un auto-laboÅ”anas ciklam pirms izvietoÅ”anas.

Serveri, kuriem nav ko zaudēt no ārpuses

Viens no vienkārŔākajiem, bet biežāk aizmirstajiem droŔības principiem - ja durvis nav atvērtas, tajās nevar ielauzties. MÅ«su serveri darbojas uz Hetzner infrastruktÅ«ras, un mēs esam pilnÄ«bā aizvēruÅ”i ārējos pieslēguma portus, ko tradicionāli izmanto, lai attālināti piekļūtu serverim.

Tā vietā serveris pats, no iekÅ”puses, pārbauda autorizētu koda krātuvi un, kad viss ir pārbaudÄ«ts un droÅ”i, ievelk atjauninājumus. Neviens nevar "klauvēt" no āra, jo durvju tur vienkārÅ”i nav.

Papildus tam vietnēs ir ieviestas stingras droŔības galvenes (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy ), kas pasargā lietotājus no datu pārtverÅ”anas, vietņu klonēŔanas un citiem izplatÄ«tiem uzbrukumu veidiem.

Kad kāds tomēr mēģina....

PilnÄ«gi izslēgt uzbrukumu mēģinājumus nav iespējams - internets ir pilns ar automatizētiem botiem, kas pastāvÄ«gi skenē vietnes un meklē vājās vietas. Tāpēc mēs izveidojām savu sistēmu, kas Å”os mēģinājumus pamana un reaģē uzreiz.

Ja tiek fiksēts, piemēram, brute-force mēģinājums vai aizdomÄ«ga skenēŔana, uzbrucēja IP adrese tiek nekavējoties bloķēta ugunsmÅ«ra lÄ«menÄ«. Bet ar to darbs nebeidzas - mÅ«su izveidotais analÄ«zes rÄ«ks tÅ«lÄ«t sāk izmeklēt notikuÅ”o: kādi bija pieprasÄ«jumi, kāds bija to modelis, ko uzbrucējs mēģināja sasniegt.

Rezultāts - Ä«ss, saprotams pārskats latvieÅ”u valodā, kas nekavējoties nonāk mÅ«su programmētāju komandas Discord kanālā.

Papildus tam Å”obrÄ«d izstrādājam arÄ« tā saukto "page-call" jeb on-call trauksmes zvana sistēmu - risinājumu, kas nopietnāku incidentu gadÄ«jumā automātiski piezvana atbildÄ«gajam izstrādātājam uz telefonu, neatkarÄ«gi no diennakts laika, lai reakcija nenotiktu tikai tad, kad kāds pēc savas iniciatÄ«vas paskatās Discord kanālā.Tā mēs ne tikai apturam mēģinājumu, bet arÄ« zinām, kas tieÅ”i notika.

Reāls piemērs no mūsu sistēmas - aizdomīgs pieprasījums tiek bloķēts uzreiz, un ik stundu automātiski tiek sagatavots kopsavilkums par visiem mēģinājumiem, to izcelsmi un iespējamo nolūku

Ko tas nozīmē klientam

Izvēloties Evoex, klients nesaņem tikai mājaslapu vai sistēmu - viņŔ saņem infrastruktÅ«ru, kurā droŔība nav pēcpārdomu, bet pamats.

Ransomware uzbrukums Å”odien reti ir tikai tehniska problēma - tas ir biznesa nepārtrauktÄ«bas risks. LVM gadÄ«jumā vairākas dienas nebija pieejami gan publiskie, gan iekŔējie pakalpojumi, dažu dienu dÄ«kstāve un iespējama datu noplÅ«de var izmaksāt uzņēmumam nesalÄ«dzināmi vairāk nekā ieguldÄ«jums profilaksē.

Praksē tas nozīmē vairākas konkrētas lietas, ko mēs darām un iesakām arī klientiem:

  • Regulāras rezerves kopijas ar reāli testētu atjaunoÅ”anas procesu, nevis kopijas, kuru darbÄ«ba nekad nav pārbaudÄ«ta.

  • Piekļuves un tiesÄ«bu pārvaldÄ«ba pēc minimāli nepiecieÅ”amā principa, lai viena uzlauzta piekļuve nedotu ceļu pie visa.

  • Nepārtraukts monitorings un anomāliju noteikÅ”ana, nevis paļauÅ”anās uz gadskārtēju auditu.

  • Segmentēta infrastruktÅ«ra, lai problēma vienā sistēmas daļā nenoveltos pār visu uzņēmumu.

  • Kļūdu laboÅ”ana pirms izvietoÅ”anas, nevis pēc tam, kad kaut kas jau ir noticis internetā.

  • Atjauninājumi fonā, bez pārtraukumiem, lai vietnes un portāli turpina strādāt nepārtraukti.

KiberdroŔība nav process, ko var "vienreiz sakārtot un aizmirst". Tas ir pastāvÄ«gs darbs. Un mums Ŕķiet - jo mazāk par to jāuztraucas mÅ«su klientiem, jo labāk mēs to darām.

Kāpēc mēs par to stāstām

Mēs to visu neizveidojām tāpēc, ka kāds no mums to prasÄ«ja. Pēdējā gada laikā esam investējuÅ”i vairākus tÅ«kstoÅ”us eiro, lai Å”o sistēmu uzbÅ«vētu un turpinātu attÄ«stÄ«t - laiku, rÄ«kus un paÅ”u izstrādāto programmatÅ«ru, kas Å”odien strādā fonā, bez pārtraukuma, katru dienu.

Tā nav vienreizēja investīcija, ko var atzīmēt un aizmirst - tā ir infrastruktūra, kurā turpinām ieguldīt, jo zinām, ka uzbrucēju metodes mainās ātrāk, nekā lielākā daļa uzņēmumu spēj reaģēt.

LVM gadÄ«jums parādÄ«ja, ka pat lieliem uzņēmumiem ar resursiem var pietrÅ«kt tieÅ”i Ŕī - sistēmas, kas pati pamana problēmu, pirms tā kļūst par krÄ«zi.

Tas nozÄ«mē, ka klientam, kurÅ” izvēlas EvoEx, nav jāuztraucas, vai viņa dati un sistēma ir aizsargāti pēc atlikuma principa. DroŔība nav papildu pakalpojums, ko var pievienot vēlāk - tā jau ir iebÅ«vēta katrā projektā, ko mēs veidojam.

Ja tev interesē, kā izskatās tava vietnes vai sistēmas droŔība no malas, sazinies ar mums - izvērtēsim to kopā un pateiksim godÄ«gi, kur ir riski un ko ar tiem darÄ«t.

Piesaki savu auditu - Evoex Audits no 390 EURO

EvoEX
Rakstu sagatavoja
EvoEX
DroŔības daļa

Gatavs sākt savu projektu?

Aizpildi formu, pastāsti savu ideju, un mēs nosÅ«tÄ«sim mÅ«su tikÅ”anās kalendāra linku. Izvēlies sev ērtu laiku un datumu, kurā satiksimies tieÅ”saistē un izrunāsim detaļas! Pēc tam izstrādāsim piedāvājumu!