Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
12 13 14 15 Массовые утечки 2015 года заставляют взглянуть под другим углом на безопасность личных данных, поскольку использование этих данных позволяет злоумышленникам продолжить ата- ку. В этом году мы уже можем наблюдать такие последствия. В частности, в начале года слу- чилась серия успешных атак на российские банки, в том числе «Металлинвестбанк», «Русский международный банк», «гарант-Инвест». По данным Group-IB, с августа 2015 года по февраль 2016-го хакеры успешно похитили 1,8 млрд рублей со счетов клиентов российских банков. То ли еще будет. positive research 2016 6 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 уязвимоСти корпоративных информационных СиСтем — 2015: ВНУТРИ ХУЖЕ, ЧЕМ СНАРУЖИ Дмитрий Каталков, Евгений Гнедин В 2015 году сетевые инфраструктуры компаний оказались лучше защищены от внешнего злоумышленника, чем в предыдущие годы, однако уровень защищенности от внутреннего нарушителя остался крайне низким. Лидер уязвимостей сетевого периметра — старые версии ПО, во внутренних сетях — недостатки управления учетны- ми записями и паролями. Увеличилось число сотрудников, которые переходят по внешним ссылкам, а уровень защищенности каждой третьей из беспроводных сетей оценивается «ниже среднего». Такие наблюдения сделаны в исследовании компании Positive Technologies на основе тестов на проникновение, проводившихся в 2015 году. В рамках тестирования моделируется поведение потенци- ального нарушителя (внешнего или внутреннего), что позволяет оце- нить реальный уровень безопасности системы и выявить недостатки механизмов защиты, в том числе те, которые могут остаться незаме- ченными при использовании других методов аудита. иСходные данные В исследовании использованы результаты тестирования 17 инфор- мационных систем крупных российских и зарубежных компаний. Наибольшую долю составляют компании финансового сектора (35%). В равных долях представлены промышленные, телекоммуникацион- ные и IT-компании (по 18%), также среди протестированных — одна транспортная компания и одна госорганизация. Большинство иссле- дованных предприятий включали множество дочерних компаний и филиалов, расположенных в разных городах и странах; количество активных узлов, доступных на их сетевом периметре, исчислялось сотнями. Помимо тестирования на проникновение, в 24% проектов проводилась оценка осведомленности сотрудников в вопросах ин- формационной безопасности. оБщие результаты В 76% исследованных систем выявлена возможность получения злоумышленником полного контроля над отдельными критически важными ресурсами. При этом в 35% систем такой уровень приви- легий может быть получен от лица любого внешнего нарушителя. Не удалось получить контроль над какими-либо критически важными ресурсами в 24% проектов. В целом видна тенденция к повышению общего уровня защищенности критически важных ресурсов, по сравнению с 2013 и 2014 годами. В половине исследованных систем возможно получение полного контроля над всей корпоративной инфраструктурой. При этом в 19% случаев такие привилегии могут быть получены со стороны внешне- го нарушителя, а еще в 31% компаний — от лица внутреннего нару- шителя из пользовательского сегмента сети. Как и в предыдущие годы, практически в каждой корпоративной инфраструктуре были обнаружены уязвимости высокой степе- ни риска. С 2013 года сохраняется тенденция к росту доли орга- низаций, корпоративная инфраструктура которых подвержена критически опасным уязвимостям, связанным с использованием устаревших версий ПО и с отсутствием обновлений безопасности. Средний возраст наиболее устаревших неустановленных обновле- ний — 73 месяца (более шести лет). 44% 39% 17% 50% 29% 7% 14% 2015 2014 2013 35% 35% 6% 24% Любой внешний нарушитель Любой нарушитель из пользовательского сегмента ЛВС Любой внутренний нарушитель из технологического сегмента Любой нарушитель, имеющий удаленный доступ к одному из серверов Не установлен минимальный уровень доступа, необходимый нарушителю для получения полного контроля над отдельными критически важными ресурсами (доля систем) максимальный уровень риска уязвимостей, связанных с отсутствием обновлений безопасности (доля уязвимых систем) 78% 22% 57% 7% 36% 2015 2014 2013 81% 6% 13% Высокий Низкий Уязвимостей не обнаружено 7 // критически важные инфраструктуры 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 недоСтатки защиты СетевоГо периметра По сравнению с 2014 годом общий уровень защищенности сетевого периметра повысился: в рамках почти половины проектов, где про- водились работы, не было выявлено недостатков, которые позволи- ли бы получить доступ к критически важным ресурсам из внешних сетей. Сложность осуществления атак также возросла: для получе- ния доступа к ресурсам внутренней сети внешнему нарушителю лишь в 46% случаев достаточно обладать низкой квалификацией (против 61% в 2014 году). Сложность преодоления периметра наиболее распространенные уязвимости на сетевом периметре В 54% проектов, где проводились работы по внешнему тестирова- нию на проникновение, были получены максимальные привилегии в каких-либо критически важных для бизнеса системах, в 27% случа- ев — полный контроль над всей инфраструктурой компании. В 55% систем для преодоления сетевого периметра без использова- ния методов социальной инженерии требовалась средняя либо низ- кая квалификация, либо вовсе тривиальные действия нарушителя. В среднем для получения доступа к ресурсам внутренней сети, как и в 2014 году, требовалась эксплуатация двух различных уязвимостей. При преодолении сетевого периметра в 47% случаев вектор атаки основывался на эксплуатации уязвимостей веб-приложений. В це- лом уязвимости различного уровня риска в коде веб-приложений были обнаружены в 69% исследованных систем. Например, уязви- мость «Загрузка произвольных файлов» была выявлена в 56% проек- тов, а «Внедрение операторов SQL» оказалось возможно в 44%. Другие 53% атак, в результате которых был получен доступ к ресур- сам внутренней сети, пришлись на использование словарных учет- ных данных. Данная уязвимость была наиболее распространенной в 2014 году, а в 2015 году выявлена на сетевом периметре 78% систем. Во всех этих системах были обнаружены простые пароли привилегиро- ванных пользователей. В 44% компаний словарные учетные данные использовались для доступа к общедоступным веб-приложениям. Во всех исследованных системах были выявлены недостатки, связан- ные с использованием на сетевом периметре уязвимых версий ПО; главным образом это устаревшие версии веб-серверов (78%) и при- кладного ПО (67%). 28% 18% 18% 27% 9% Тривиальная Низкая Средняя (без использования социальной инженерии) Средняя (с использованием социальной инженерии) Не удалось преодолеть периметр | Внедрение внешних сущностей XML | Интерфейсы подключения к СУБД доступны любому пользователю сети Интернет 0% 20% 40% 60% 80% 100% 20% 22% 60% 33% | Избыточные привилегии приложения или СУБД 40% 33% | Внедрение операторов SQL 67% 44% | Хранение важных данных в открытом виде или в открытом доступе 33% 56% | Загрузка произвольных файлов 40% 56% | Словарные пароли 87% 78% | Интерфейсы управления оборудованием доступны любому пользователю сети Интернет 93% 89% | Использование открытых протоколов передачи данных 80% 89% | Уязвимые версии ПО 67% 100% 2014 год 2015 год (высокий, средний и низкий риск) недоСтатки защиты внутренней Сети Как и в предыдущие годы, в рамках всех проектов удалось полу- чить максимальные привилегии в критически важных системах при тестировании от лица внутреннего злоумышленника (например, рядового сотрудника, находящегося в пользовательском сегменте сети). При этом полный контроль над инфраструктурой был полу- чен в 71% случаев. Полученные результаты совпадают с показате- лями 2013 года. В среднем при наличии доступа во внутреннюю сеть для контро- ля над критически важными ресурсами злоумышленнику требу- ется эксплуатация четырех различных уязвимостей, что на один шаг больше, чем в предыдущем году, и на один шаг меньше, чем в 2013 году. Однако сложность реализации атак существенно снизи- лась — в 82% случаев для доступа к критически важным ресурсам нарушителю достаточно было обладать квалификацией низкого уровня; аналогичный показатель в 2014 году составлял лишь 56%. Самой распространенной уязвимостью ресурсов внутренней сети остается использование словарных паролей. Данный недостаток обнаружен в рамках всех без исключения проектов. При этом в 91% случаев было выявлено использование слабых паролей для приви- легированных учетных записей. positive research 2016 8 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 Во всех системах также были выявлены недостатки защиты служебных протоколов, которые могут привести к перехвату и перенаправ лению сетевого трафика. Недостаточный уровень защиты привилегирован- ных учетных записей и недостатки антивирусной защиты по-прежнему распространены во внутренней сети компаний: уязвимости каждой из этих категорий были обнаружены в 91% систем. Уровень защищенности внутренних сетей по-прежнему остается крайне низким. Несмотря на отдельные улучшения (например, по- высился средний уровень криптографической защиты, повысилась осведомленность пользователей в вопросах информационной без- опасности), применяемых мер защиты все так же недостаточно для противодействия злоумышленникам. Наиболее распространенный сценарий развития атаки во внутренней сети практически не из- менился с 2014 года и состоит всего из трех основных этапов. Как и прежде, для успешной атаки достаточно использовать широко рас- пространенные и давно известные типы уязвимостей. недоСтатки оСведомленноСти Сотрудников в вопроСах иБ В целом уровень осведомленности сотрудников в вопросах инфор- мационной безопасности оценивается выше, чем в 2014 году, но по-прежнему остается достаточно низким: ни в одной из протестиро- ванных систем он не был оценен как приемлемый, хотя вдвое снизи- лась доля компаний, для которых уровень осведомленности сотруд- ников был оценен как крайне низкий (25% против 50% в 2014 году). Словарные пароли во внутренней сети наиболее распространенные уязвимости внутренней сети доля зафиксированных событий относительно общего количества отправленных сообщений | sa | 123 0% 20% 40% 60% 80% 100% 19% 19% 25% 19% | P@ssw0rd 25% 19% | До 10 цифр 31% 13% | 123456 31% 13% | admin 31% 25% | Близкие сочетания клавиш 38% 6% | До 7 символов цифр и строчных букв 38% 13% | Пустой 38% 19% | До 7 строчных букв 44% 25% Пользователи Администраторы | Недостатки сегментации сети | Интерфейсы управления оборудованием доступны любому пользователю локальной сети 0% 20% 40% 60% 80% 100% 44% 36% 19% 45% | Использование открытых (незащищенных) протоколов передачи данных 25% 64% | Недостатки защиты протоколов NBNS и LLMNR 56% 73% | Хранение важной информации в открытом виде 88% 82% | Уязвимые версии ПО 50% 82% | Недостаточно эффективная реализация антивирусной защиты 88% 91% | Недостаточный уровень защиты привилегированных учетных записей 88% 91% Недостатки защиты служебных протоколов, приводящие к перенаправлению трафика и перехвату информации о конфигурации сети 83% 100% | Словарные пароли 100% 100% | 2014 год 2015 год (уровень риска: высокий, средний, низкий) | Переход по ссылке 0% 20% 40% 60% 80% 100% 11% 20% 24% | Вступили в диалог 3% 0% 0% | Ввели учетные данные либо установили ПО 4% 15% 15% 2013 год 2014 год 2015 год В 2015 году в среднем 24% пользователей осуществили переход по поддельной ссылке (в 2014 году было 20%). Не изменилась доля ис- пытуемых, которые ввели свои учетные данные в заведомо ложную форму аутентификации или загрузили исполняемый файл: показа- тель остался на уровне 15%. 9 // критически важные инфраструктуры 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 недоСтатки защиты БеСпроводных Сетей В рамках данных работ проводится поиск недостатков в использо- вании точек доступа и клиентских устройств Wi-Fi для диапазонов 2,4 и 5 ггц с использованием технологий 802.11a/b/g/n, а также не- достатков в архитектуре и организации беспроводного доступа. Лишь для 33% систем уровень защищенности беспроводных сетей был оценен как «приемлемый». Среди выявленных недостатков стоит отметить использование ме- ханизма WPS для упрощения процесса настройки беспроводной сети. Для подключения к точке доступа используется специальный PIN-код, состоящий только из цифр. Нарушитель может подобрать PIN-код и подключиться к точке доступа. Также выявлены факты использования несанкционированных то- чек доступа; в случае их подключения к локальной вычислитель- ной сети злоумышленник имеет возможность получить доступ к внутренним сетям. В ряде систем обнаружено отсутствие защиты отдельных беспроводных сетей, что может привести к перехвату важной информации. К распространенным уязвимостям можно также отнести использование стандартных учетных записей для доступа к веб-интерфейсу управления сетевым оборудованием. В рамках одного из проектов было установлено, что почти все беспроводные сети компании доступны за пределами контро- лируемой зоны, при этом на общедоступных ресурсах сетевого периметра в открытом виде хранились учетные данные пользо- вателя домена. Таким образом любой внешний нарушитель может подключиться к беспроводной сети и проводить атаки на ресур- сы ЛВС. заключение Для снижения рисков компрометации критически важных систем со стороны внешних нарушителей рекомендуется особое внима- ние уделять ресурсам, доступным из внешних сетей. Как показывает практика, подавляющее большинство успешных атак основаны на эксплуатации уязвимостей не официальных сайтов организаций и их серверов, а каких-либо других ресурсов компании, которые не должны быть доступны на сетевом периметре (например, СУБД, не- используемых отладочных интерфейсов, интерфейсов удаленного доступа или управления, интерфейсов инфраструктурных служб, таких как LDAP). Интерфейсы для доступа к таким ресурсам могут быть открыты для подключения по ошибке администраторов; за- частую представители крупных компаний, отвечающие за безопас- ность, не могут точно сказать — сколько и каких ресурсов органи- зации доступны из внешних сетей. Для защиты от атак на веб-приложения рекомендуется применять межсетевые экраны уровня приложения с эффективными настрой- ками правил корреляции. Для контроля за ресурсами на сетевом периметре рекомендуется обеспечить регулярное сканирование ресурсов, доступных из внешних сетей (к примеру, раз в месяц). Для своевременного выявления и устранения уязвимостей в коде критически важных веб-приложений необходимо регулярно про- водить работы по анализу их защищенности, как методом черного или серого ящика, так и методом белого ящика с подробным анали- зом исходных кодов. Такие работы важно проводить не только на каждом этапе разработки приложения, но и в отношении систем, принятых в эксплуатацию, с последующим контролем устранения выявленных уязвимостей. Что касается защиты корпоративных систем от атак со стороны внутреннего нарушителя, необходимо ввести парольную политику, запрещающую использование простых паролей, предусматрива- ющую обязательную двухфакторную аутентификацию для приви- легированных пользователей критически важных систем, а также требования к регулярной смене паролей (например, раз в 60 дней). Также необходимо обратить особое внимание на устаревшие вер- сии ПО, на открытые протоколы передачи данных и на хранение важной информации в открытом виде на серверах и рабочих стан- циях сотрудников. Кроме базовых мер защиты информации, следу- ет на регулярной основе проводить аудит безопасности инфор- мационных систем и тестирование на проникновение со стороны внешнего и внутреннего нарушителя. уровень защищенности беспроводных сетей (доли систем) 0% 20% 40% 60% 80% 100% Средний | 33% Приемлемый | 33% Ниже среднего | 33% mAxpATrol siem покажет вСю картину БезопаСноСти В мае 2015 года Positive Technologies представила собственную систему мониторинга событий безопасности и выявления хакерских атак MaxPatrol SIEM. Для идентификации и инвентаризации активов в системе используется широкий набор активных и пассивных механизмов, использующих данные сетевого трафика, журналы событий, конфигурационные файлы, результаты работы сканеров и других систем безопасности. Данные об уязвимостях, топологии сети и фактическом трафи- ке, совмещенные с постоянно обновляемой базой знаний о техниках атак, позволяют MaxPatrol SIEM выявлять инциденты на самых ранних стадиях и принимать превентивные меры защиты. Система целиком спроектирована в России с учетом местной специфики и требований регуляторов, легко интегрируется с большим количеством различных ИБ-средств и уже сейчас поддерживает десятки внешних источников данных. Одной из первых DLP-систем, которые работают с MaxPatrol SIEM, стал российский программный комплекс обнаружения и предотвращения утечек DeviceLock DLP Suite, широко ис- пользуемый в государственных учреждениях, в финансовых, энергетических и телекоммуникационных компаниях. |