Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Блокировка обращений по черному списку рефереров средствами NGINX

Цель: снизить нагрузку на веб сервер заблокировав мусорные и спам обращения.
Реализация через конфигурацию NGINX.
1. Берем готовый файл конфигурации со списком плохих рефереров отсюда:
Примечание: Необходимо загрузить проект через git, либо в виде архива, затем использовать из него файл referral-spam.conf
Так стоит сделать, чтобы не сбилась оригинальная кодировка файла, т.к. там встречаются UTF-8 символы в названиях доменов.

2. Дополняем черный список по рекомендациям НКЦКИ
Источник: https://safe-surf.ru/specialists/news/676114/ 

3. Далее преобразуем список плохих рефереров в регулярные выражения, как это сделано в файле referral-spam.conf. Он получится таким:
# ukraine
"~*cyber\-yuzh\.com" 1;
"~*ukraine\.is\-great\.org" 1;
"~*stop\-russia\.rf\.gd" 1;
"~*stop\-russia\.synergize\.co" 1;
"~*fuck\-desinformation\.netlify\.app" 1;
"~*stop\-\-russian\-\-desinformation\-near\-page\.translate\.goog" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*stop\-russia\.great\-site\.net" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*slavaukraini\.000webhostapp\.com" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*fly\.freecluster\.eu" 1;
"~*ovh1\.vanagas\.tech" 1;
"~*freeanon\.xyz" 1;
"~*mwl\.vdl\.pl" 1;
"~*norussian\.tk" 1;
"~*dstat\.sorryy\.me" 1;
"~*jebacruskich\.page" 1;
"~*81g6bk\.csb\.app" 1;
"~*vug\.pl" 1;
"~*kaszaniok\.github\.io" 1;
"~*dildouslugi\.ga" 1;
Примечание: список на сайте НКЦКИ обновляется, следует брать список от туда.
Дополняем общий список нашим списком и сохраняем файл referral-spam.conf.

Добавить referral-spam.conf в /etc/nginx и включить его глобально в /etc/nginx/nginx.conf:

http {
    include referral-spam.conf;
}

Добавить следующие параметры в файлы конфигураций всех сайтов /etc/nginx/site-available/your-site.conf которые требуют защиты:

server {
    if ($bad_referer) {
        return 444;
    }
}

Т.е. кладем файл referral-spam.conf в папку /etc/nginx, подключаем его в файле /etc/nginx/nginx.conf. Далее в блоке server каждого сайта, который требуется защитить, добавляем возврат кода 444 при условии определения переменной $bad_referer.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на актуализацию черного списка рефереров 
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо. Примеры: Межсетевые экраны; Системы предотвр...
Компенсирующая ? Компенсирующие меры Обеспечивают альтернативные варианты защиты, когда иные меры либо невозможно, либо слишком дорого реализовать.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
Косвенно ВСА.8
ВСА.8 Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа «отказ в обслуживании», предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет
Косвенно ВСА.9
ВСА.9 Блокирование атак типа «отказ в обслуживании» в масштабе времени, близком к реальному
Косвенно ВСА.10
ВСА.10 Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
Косвенно ОЦЛ.4 ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
Косвенно A.17.1.2 A.17.1.2 Обеспечение непрерывности информационной безопасности
Средства реализации: Организация должна установить, документировать, внедрить и поддерживать процессы, процедуры и средства управления, чтобы гарантировать необходимый уровень непрерывности информационной безопасности во время неблагоприятной ситуации.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
Косвенно ЗИС.22 ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы
Косвенно ОЦЛ.4 ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.16 ЗИС.16 Защита от спама
ЗИС.34 ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.34 ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
ЗИС.16 ЗИС.16 Защита от спама