07.10.2020 | Как остановить хакеров: боремся с устаревшим ПО и небезопасными протоколами |
Эксплуатация уязвимости CVE-2018-15473 Согласно нашему исследованию , 47% уязвимостей, выявленных на сетевом периметре компаний, могут быть устранены установкой актуальных версий ПО. В этой статье мы расскажем о том, насколько опасно отсутствие обновлений, к каким последствиям оно приводит и как можно помешать злоумышленникам атаковать вашу инфраструктуру. Насколько проблема серьезнаМы провели анализ защищенности сетевых периметров корпоративных информационных систем с помощью автоматизированной системы контроля защищенности и соответствия стандартам MaxPatrol 8 . Наше исследование выявило проблемы с наличием обновлений во всех протестированных компаниях. При этом в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% организаций есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года. Для 10% выявленных уязвимостей в свободном доступе есть эксплойты — то есть успешную атаку может провести даже хакер без серьезных технических навыков и опыта. Последствия использования устаревших версий ПО можно представить на примере утечки данных из американского кредитного бюро Equifax . Злоумышленники получили доступ к 143 млн записей его клиентов через уязвимость в веб-сервере Apache Struts. Интересно то, что эта ошибка безопасности уже была хорошо известна и для нее существовал патч, который не был установлен. Компания выплатит в общей сложности порядка 700 млн $ для урегулирования претензий регуляторов и клиентов. Устаревший софт и небезопасные протоколы: какие атаки они позволяют проводитьВ ходе анализа мы обнаружили такие типы уязвимостей, как выполнение произвольного кода, отказ в обслуживании, повышение привилегий, разглашение информации (рис. 1). В основном проблемы связаны с устаревшим софтом и небезопасными протоколами.
Рисунок 1. Распространенные категории уязвимостей (доля организаций) Вот лишь несколько примеров:
Рисунок 2. Известные уязвимости в SSL/TLS и OpenSSL (доля организаций) Наиболее часто встречающиеся в ходе инструментального анализа уязвимости датируются 2013—2017 годами. По состоянию на 2020 год до сих пор остаются организации, уязвимые для Heartbleed и WannaCry.
Рисунок 3. Уязвимое ПО (доля уязвимостей, связанных с использованием устаревших версий) Как защититьсяНа периметре всех организаций доступны для подключения разнообразные сетевые сервисы, это дает возможность любому интернет-пользователю проводить подбор учетных данных к этим сервисам и эксплуатировать уязвимости в ПО. Для минимизации рисков успешных кибератак следует ограничить количество сервисов на сетевом периметре и убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны из интернета. Если это так, необходимо обеспечить безопасную их конфигурацию и наличие обновлений, закрывающих известные уязвимости. Как мы говорили выше, почти половина (47%) выявленных уязвимостей может быть устранена установкой актуальных версий ПО. Но важно понимать, что управление уязвимостями — сложный процесс, и эта сложность увеличивается с ростом инфраструктуры. Если инфраструктура большая, то поиск устаревших версий ПО и небезопасных протоколов может оказаться нетривиальной задачей, решить которую без специализированных инструментов невозможно. Современные средства анализа защищенности позволяют не только автоматизировать инвентаризацию ресурсов и поиск уязвимостей, но и оценить соответствие инфраструктуры политикам безопасности. При этом найти уязвимость недостаточно, ее еще нужно верифицировать, не забывая о том, что любая подтвержденная брешь представляет угрозу: невозможно предугадать, какой именно вектор атаки из множества возможных выберет злоумышленник. Для контроля защищенности и соответствия стандартам в системе MaxPatrol 8 предусмотрено три режима сканирования — PenTest, Audit и Compliance. В режиме PenTest проводятся инвентаризационные, баннерные проверки [1] , фаззинг [2] , подбор учетных записей. Данный режим предполагает минимальные знания об исследуемой системе (метод черного ящика). В режиме Audit возможны инвентаризация аппаратного и программного обеспечения, сбор конфигурационных параметров ОС, служб, СУБД, прикладных систем и средств защиты информации, выявление уязвимостей, ошибок конфигурации и контроль обновлений. Этот режим предполагает доступ к сканируемым узлам. Режим Compliance – контроль соответствия стандартам ИБ, позволяет проводить как проверки, реализованные в режиме Audit, включающие идентификацию программного обеспечения узла, так и дополнительные проверки, необходимые для принятия решения о соответствии сканируемого объекта тем или иным требованиям. Мы рассмотрели возможности инструментального сканирования сетевых ресурсов. Но учитывайте, что это только первый шаг на пути к приемлемому уровню защищенности вашей организации. За ним обязательно должны следовать верификация, приоритизация, устранение рисков и причин их возникновения. Эта работа должна быть цикличной, а ее регулярность позволит минимизировать риск успешных атак на корпоративную инфраструктуру.
[1] Анализ служебных сообщений, которые передают приложения. [2] Методика тестирования ПО путем отправки заведомо неверных или случайных данных. Яна Авезова, аналитик информационной безопасности, Positive Technologies |
Проверить безопасность сайта