Оценка уязвимостей, или Как повысить уровень защищенности информационной системы компании?

Тест на проникновение – давно известный термин, с которым связано немало головной боли специалистов служб ИТ и информационной безопасности (ИБ). Стоит ли проводить, как часто и какими силами? – все эти вопросы в определенный момент задает себе ИТ-руководитель. И хорошо, если потребность в оценке защищенности информационной системы возникает не как следствие кибератаки на ресурсы и системы компании.

Проводить тестирование на проникновение самостоятельно или привлекать для этого внешних специалистов, компании выбирают для себя, исходя из наличия соответствующих специалистов или внутренних потребностей. Как известно, панацеей от хакерских атак является полная изоляция системы от внешней среды, но при таком подходе функционирование бизнеса невозможно. Также всем известно, что уязвимости выявляются гораздо быстрее, чем появляются средства по их устранению. Поэтому основная задача информационной безопасности – минимизация вероятности успешной реализации атак. Для этого и проводится тестирование на проникновение, по результатам которого разрабатываются рекомендации по устранению выявленных уязвимостей и, как следствие, повышению уровня защищенности информационных систем. Основываясь на собственном опыте, готовы поделится парой-тройкой рекомендаций.

За время работы над проектами, а их на сегодня реализовано уже более 40, была замечена тенденция общих уязвимостей, в результате которых удается проникнуть в информационные системы заказчика. Собирая статистику по результатам проектов, мы получили:

В результате проработки уязвимостей, в 80% случаев удалось получить доступ к информационным системам заказчика, причем в 25% удалось получить полный контроль над инфраструктурой клиента.

Важно понимать, что финансовый ущерб от проведения такой атаки будет индивидуален для каждой компании, поэтому стоит учитывать риски наперед.

Как ни странно, но наиболее распространенная уязвимость – «простые/словарные пароли». На практике преимущественное большинство компаний внедрило строгие парольные политики, но не всегда контролируют их выполнение. Если на уровне AD возможно принудительно контролировать и ставить запреты, используя соответствующие правила, то на уровне конфигурирования оборудования, серверных и веб-приложений администраторы очень часто используют пароли, которые попадают в словари Топ-100 часто используемых. И это – учитывая, что такие пароли являются в разы более критичными для компании, чем пароли рядового пользователя.

В связке с вышеупомянутой уязвимостью «Наличие интерфейсов удаленного управления (SSH, Telnet, RDP)» дает возможность проникнуть и получить контроль над информационной системой компании, которую атакуют.

Отдельно следует выделить уязвимость «SQL Injection», которая, ни много ни мало, а встречается в 63% случаев. Суть данной уязвимости заключается в том, что в результате некорректной обработки данных существует возможность внедрения произвольных SQL запросов в базе данных, что позволяет получить доступ на чтение или запись локальных файлов, а также выполнить произвольные команды. Распространенный жизненный пример такой уязвимости:

Отец, написал записку маме, чтобы она дала Васе 100 рублей, и положил ее на стол. Переработав это в шуточный SQL язык, мы получим: «ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе». Оставленную на столе записку увидел брат Васи – Петя – и, будучи хакером, дописал «ИЛИ Пете». В итоге получился такой запрос: «ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе ИЛИ Пете». Мама, прочитав записку, решила, что Васе она давала деньги вчера и дала 100 рублей Пете :-)

Как и в предыдущем случае, эта уязвимость зачастую реализуется в связке с другими. Наибольший эффект от эксплуатации оказывают существующие учетные записи с расширенными правами.

В целом, таких примеров можно привести множество, поскольку алгоритмы эксплуатации прорабатываются под каждый случай отдельно, а количество уязвимостей постоянно возрастает, как и число кибератак. Но, как и в большинстве случаев, здесь также работает принцип Парето – устраняя 20% уязвимостей, можно предотвратить 80% успешно реализованных атак.

В завершение хотелось бы привести восемь общеизвестных рекомендаций, используя которые можно повысить уровень защищенности системы:

1. Используйте парольную политику не только на бумаге, но и в жизни.
2. Не используйте конфигурации оборудования по умолчанию.
3. Используйте принцип минимальной необходимости (все, в чем нет производственной необходимости, должно быть отключено).
4. Используйте привилегированные учетные записи в минимальном количестве и только в случае необходимости.
5. Регулярно обновляйте ПО и устанавливайте патчи.
6. Регулярно проводите сканирование на уязвимости и работы по их устранению.
7. Проводите тест на проникновения после значимых изменений в инфраструктуре.
8. После проведения теста внедряйте рекомендации повышающие уровень защищенности вашей информационной системы.

Чтобы узнать больше, примите участие в вебинаре на тему «Оценка защищенности информационных систем»

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365