Чеклист предотвращения атак программ-шифровальщиков
- Настроена двухфакторная аутентификация для привилегированных аккаунтов
- Учетные записи Яндекс ID используются только в исключительных случаях
- Сервисным аккаунтам назначены минимальные привилегии
- Отслеживается дата последней аутентификации сервисного аккаунта и последнего использования ключей доступа
- Выполняется периодическая ротация ключей сервисных аккаунтов
- В Object Storage включена блокировка версий объектов (Object Lock)
- Настроено резервное копирование дисков и баз данных
- Включен сервис Yandex Audit Trails
- Включено логирование действий с бакетами Object Storage
Этот раздел содержит набор требований безопасности для защиты облачной инфраструктуры Yandex Cloud от атак программ-шифровальщиков (ransomware). Шифровальщики — один из наиболее распространенных и разрушительных видов кибератак: злоумышленники шифруют данные жертвы и требуют выкуп за их восстановление. В облачных средах атаки шифровальщиков могут затрагивать объектные хранилища, диски виртуальных машин, базы данных и резервные копии.
Настроена двухфакторная аутентификация для привилегированных аккаунтов
Аккаунты с привилегированными ролями — admin, editor, resource-manager.admin и аналогичными — должны использовать многофакторную аутентификацию (MFA). Компрометация привилегированного аккаунта без MFA позволяет злоумышленнику немедленно получить доступ ко всем ресурсам организации и удалить резервные копии перед запуском шифрования.
Учетные записи Яндекс ID используются только в исключительных случаях
Личные аккаунты Яндекс ID не управляются корпоративными политиками безопасности: для них нельзя принудительно включить MFA, задать политику паролей или отозвать доступ централизованно. Для доступа к облачным ресурсам используйте федеративные аккаунты через Yandex Identity Hub. Аккаунты Яндекс ID допустимы только для технических нужд (например, первоначальная настройка организации) и должны быть задокументированы как исключения.
Сервисным аккаунтам назначены минимальные привилегии
Сервисные аккаунты с избыточными правами (например, с ролью editor или admin на уровне организации или облака) становятся целью для шифровальщиков: компрометация такого аккаунта позволяет злоумышленнику удалить все резервные копии и зашифровать данные. Назначайте сервисным аккаунтам только те роли, которые необходимы для выполнения функций, и только на нужном уровне ресурсной иерархии (на каталог, а не облако).
Отслеживается дата последней аутентификации сервисного аккаунта и последнего использования ключей доступа
Неиспользуемые статические ключи доступа и сервисные аккаунты, которые давно не проходили аутентификацию, представляют риск: злоумышленник может использовать забытые учетные данные для получения доступа. Рекомендуется отслеживать дату последней аутентификации сервисных аккаунтов и использования ключей доступа. Удаляйте или деактивируйте ключи и аккаунты, не использовавшиеся более 90 дней.
По возможности следует использовать эфемерные ключи или временные токены через сервис Yandex Security Token Service вместо статических ключей.
Выполняется периодическая ротация ключей сервисных аккаунтов
Статические ключи доступа сервисных аккаунтов должны регулярно ротироваться. Рекомендуемый период ротации — не реже одного раза в 90 дней. Ключи без срока действия увеличивают окно возможностей для злоумышленников в случае их утечки.
По возможности следует использовать эфемерные ключи или временные токены через сервис Yandex Security Token Service вместо статических ключей.
В Object Storage включена блокировка версий объектов (Object Lock)
Object Lock — механизм защиты объектов в Yandex Object Storage от удаления и перезаписи на заданный период. При включенном Object Lock злоумышленник, получивший доступ к бакету, не сможет удалить или изменить защищенные объекты до истечения срока блокировки. Рекомендуемый минимальный период блокировки — 30 дней. Object Lock работает только при включенном версионировании бакета.
Настроено резервное копирование дисков и баз данных
Для всех критичных ресурсов должно быть настроено автоматическое резервное копирование:
- Диски виртуальных машин: используйте Yandex Cloud Backup или расписание снимков дисков. Рекомендуемая частота — ежедневно, срок хранения — не менее 14 дней.
- Управляемые базы данных (MDB): убедитесь, что автоматические резервные копии включены и срок хранения составляет не менее 14 дней.
- Хранение резервных копий: резервные копии рекомендуется хранить в отдельном каталоге (folder) с ограниченным доступом, а в идеале — в отдельной облачной организации или за ее пределами.
Включен сервис Yandex Audit Trails
Audit Trails фиксирует все управляющие действия с ресурсами облака: создание и удаление ресурсов, изменение прав доступа, операции с ключами и т.д. Audit Trails должен быть включен на уровне организации или облака и настроен на запись событий в защищенный бакет Object Storage (с включенным Object Lock) или в лог-группу. Сам бакет с логами должен быть защищен от удаления.
Включено логирование действий с бакетами Object Storage
Помимо Audit Trails, который фиксирует управляющие события, рекомендуется включить логирование доступа к объектам в бакетах Object Storage. Это позволяет отслеживать операции чтения и записи объектов (GET, PUT, DELETE), что критично для расследования инцидентов с шифровальщиками, атакующими хранилища данных. Логи доступа следует направлять в отдельный защищенный бакет.