Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 БиоГрафия СетевоГо периметра В КАРТИНКАХ Владимир Лапшин Решая задачи, связанные с обеспечением информационной безопас- ности, принято разделять угрозы на внешние и внутренние. Внешние угрозы, как правило, ассоциируются с хакерскими атаками на сете- вой периметр. Именно эта активность «темной стороны» часто ста- новится предметом рассмотрения кино и художественной литерату- ре. При этом действия хакера, проникающего в сеть, расположенную на другом континенте, обросли мифами, и понять — где реальность, а где вымысел — бывает очень сложно. Многие компании сталкиваются со взломом внешнего периметра. Некоторые пытаются оценить стойкость своих границ самостоя- тельно, другие обращаются к специализированным организациям. Часто стойкость «оценивают» и злоумышленники, и тогда компании приходится выяснять, кто и как осуществил несанкционированное проникновение во внутреннюю сеть. Специалисты нашей компании часто оказывают помощь организациям как в оценке защищенности их сетевого периметра, так и в расследовании инцидентов информа- ционной безопасности, а поэтому мы можем с уверенностью сказать, что задача обеспечения защиты сетевого периметра на сегодняшний день более чем актуальна. СМИ ведут свою статистику в этой области, и она, увы, также не вызы- вает оптимизма. Взламывают не только рядовые компании, имеющие скромные возможности в части использования новых технологий и построения полномасштабной системы защиты, но и компании, рас- полагающие передовыми технологиями, с высоким уровнем зрело- сти процессов ИБ. В основу настоящей статьи положены результаты исследования, про- веденного в отношении компаний с высоким уровнем зрелости про- цессов ИБ, то есть только таких компаний, где налажены процессы: + инвентаризации активов, + оценки важности активов и угроз, + управления уязвимостями и обновлениями ПО. Под инвентаризацией активов понимается наличие знаний о систе- мах, которые используются на внешнем периметре: эти знания совпа- дают с реальным положением дел, а также существует обоснованное понимание необходимости наличия этих систем на периметре. Когда мы рассматривали результаты этих исследований с коллегами, которые занимаются расследованием инцидентов ИБ, оказалось, что половина инцидентов, которые приходится расследовать, связана со взломом систем, о существовании которых либо никто вообще не знает, либо о которых никто не может сказать, как и зачем они появи- лись именно на периметре сети. Под оценкой важности понимается оценка степени влияния тех или иных угроз на компоненты системы, которая позволяет ранжировать уязвимости в зависимости от уровня риска и от системы, в которой она обнаружена. Это особенно актуально для больших сетевых периметров. Под управлением уязвимостями и обновлениями подразумевается здравый уровень бюрократии, позволяющий опираться на докумен- ты, регламентирующие процессы устранения уязвимостей. Их ос- новная цель договориться внутри компании о приемлемых уровнях риска и описать зоны ответственности структурных подразделений, участвующих в процессе. Компании, в которых описанные выше процессы не налажены, в ис- следование не попали. Очевидно, что уровень защищенности этих компаний невысок, за исследуемый период выявленные уязвимости не были устранены, и, согласно нашим данным, 40% таких систем бу- дут уязвимы, а 30% сервисов — представлять угрозу. Итак, перейдем к подробностям. наШи Герои Оценка уровня защищенности проводилась в 10 организациях (одна из них — Positive Technologies, а вот названия остальных мы не рас- кроем). Адресное пространство исследования включало 130 000 уникальных IP-адресов. Использовались новые технологии сканиро- вания системы MaxPatrol X. Чтобы получить данные об изменениях, сканирование указанного диапазона проводилось на регулярной основе, по возможности раз в неделю. Исследование проводилось в 2014 и 2015 годах. ваШе дырявое величеСтво… В течение всего двухлетнего периода исследования проводи- лось регулярное сканирование диапазона IP-адресов. Постоянно были доступны около 10 000 адресов (7,7% от общего количества). Остальные адреса либо не использовались, либо доступ к ним был ограничен на межсетевом экране. За все время проведения работ было выявлено порядка 15 000 уязвимостей. Все обнаруженные в ходе исследования системы можно разделить на следующие группы. 15% 23% 62% ОС класса Windows ОС класса UNIX ОС сетевого оборудования 11 // критически важные инфраструктуры 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 Уязвимости были выявлены на 37% систем. Из них примерно на 7% систем обнаружены уязвимости с высоким уровнем риска по CVSS, а на 23% систем — со средним уровнем риска. Если принять во вни- мание результаты баннерных проверок, то картина будет еще более удручающей. Рассмотрим распределение уровня риска уязвимостей по типам ОС. Ниже представлена зависимость количества обнаруженных уязви- мостей от типа ОС. 24% 47% 29% ОС класса Windows ОС класса UNIX ОС сетевого оборудования Высокий Средний Низкий Нет уязвимостей 0% 20% 40% 60% 80% 100% | ОС сетевого оборудования | 45,6% | 0,8% | 12,3% | 3,3% | ОС класса Windows | 5,6% | 2,8% | 5,2% | 1,2% | Все ОС | 62,5% | 7,3% | 23,4% | 6,8% | ОС класса UNIX | 11,3% | 3,7% | 5,9% | 2,3% Высокий риск Средний Низкий 0% 20% 40% 60% 80% 100% | ОС сетевого оборудования | 1,8% | 20,1% | 2,4% | ОС класса Windows | 3,8% | 22,2% | 3% | ОС класса UNIX | 9,4% | 33,4% | 3,9% В результате мы получили следующую закономерность. + Для самой распространенной группы операционных систем се- тевого оборудования было обнаружено наименьшее количество уязвимостей, около 25% от общего количества. + Для UNIX-систем было обнаружено наибольшее количество уяз- вимостей — более 45%. + И чуть менее 30% уязвимостей было отнесено к системам на базе Windows. Зависимость количества уязвимостей от категории ОС показывает, что подходы к управлению обновлениями зависят от типа ОС, и для повышения эффективности процессов ИБ на это нужно обращать внимание. люБимые мозоли злодеев В ходе исследований была предпринята попытка выявить наиболее популярные у внешних злоумышленников сервисы и связать уязви- мости и контекст соответствующих атак. Для этого мы разместили сенсоры PT MultiScanner, реализующие функции классической систе- мы Honeypot, в сети Интернет. Для чистоты эксперимента мы устано- вили их непосредственно в нашем адресном пространстве, рядом с «живыми» системами. В норме на этих системах не должно было быть никакой активности, так как на них нет ни одного настоящего сервиса, и они не являются частью каких-либо информационных систем. Однако уже в течение первого месяца на этих системах было зафиксировано множество разных активностей, большая часть их них была связана с использо- ванием сервисов DNS, NTP, SNMP. Мы провели анализ захваченного трафика и обнаружили явные попытки использовать сервисы для проведения DDoS-атак. Количество этих событий составило 99% от общего количества. В целом такие результаты предсказуемы: DDoS- атаки могут принести деньги, технология проведения таких атак до- ступна и проста, уязвимы больше половины сервисов, и они содер- жат около 10% всех уязвимостей. | Остальные сервисы 0% 20% 40% 60% 80% 100% 90% 46% 1% | DNS, NTP, SNMP 10% 54% 99% Активность на Honeypot Сервисы Уязвимости На остальную часть сервисов пришелся лишь 1% активности. В рам- ках этого исследования мы рассматривали только этот процент. Среди оставшихся сервисов мы выделили семь основных категорий: + опасные сервисы, + инфраструктурные сервисы, + управляющие интерфейсы, + вирусы и бэкдоры, + Веб, + СУБД, + SIP. К категории опасных сервисов мы отнесли сервисы, размещение ко- торых на периметре может нести повышенные риски: сервисы досту- па к файловой системе, RPC, службы каталогов, принтеры, сервисные интерфейсы систем виртуализации и пр. В категорию инфраструктурных сервисов попали VPN, email- и proxy-серверы, специфичные для исследуемых организаций систе- мы, сервисы сетевых устройств, например BGP-роутеры. В категорию управляющих интерфейсов были включены Telnet, SSH, RDP, VNC и т. п. Состав остальных категорий очевиден. positive research 2016 12 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 Консолидируя информацию о количестве обнаруженных сервисов, уязвимостей и сетевой активности, мы видим, что уровень интереса хакеров к сетевым инфраструктурам весьма высок: «Статика» против «динамики»: в поиСках иСтины Проверим, работает ли закон Парето в такой формулировке: «20% са- мых уязвимых систем содержат 80% всех уязвимостей». Мы выбрали результаты сканирования уязвимых систем на случайную дату и отсо- ртировали их по количеству уязвимостей от большего к меньшему: | SIP 0% 20% 40% 60% 80% 100% 0,0% 2,4% 1,7% | СУБД 0,7% 0,6% 1,8% | Веб 1 53,4% 30,0% 4,0% | Вирусы, бэкдоры 0,0% 0,0% 4,5% | Управляющие интерфейсы 15,9% 21,8% 16,8% | Опасные сервисы 1,6% 7,3% 53,5% | Инфраструктурные сервисы 20,0%_0,0%_0,0%_2,5%_0,0%_3,4%_0,2%_2,4%_37,9%_17,8%'>20,0% 0,0% 0,0% 2,5% 0,0% 3,4% 0,2% 2,4% 37,9% 17,8% Активность на Honeypot Уязвимости с высоким CVSS Сервисы Уязвимости 1 Низкое количество атак на Веб связано с отсутствием на ханипотах сайтов: сервер только устанавливал соединение, но не отдавал контент. На «боевых» сайтах, которые мы защищаем с помо- щью PT AF, фиксируется значительно большее количество опасной активности. Самыми уязвимыми оказались первые 20% систем, они содержали около 60% от общего количества уязвимостей. Эти системы содер- жат большую часть уязвимостей с высоким и средним уровнем риска, ⅔ уязвимостей с высокими значениями CVSS и примерно столько же уязвимостей со средними значениями CVSS. Закон Парето не выполняется. Разобьем те же системы на 10 групп, содержащих одинаковое количество систем. Для каждой группы мы вычислили значения, соответствующие распределению уязвимостей, и построили график. 0% 20% 40% 60% 80% 100% | Остальные 80% систем | 20,0% | 18,1% | 1,0% | Первые 20% систем | 14,2% | 44,0% | 2,7% Высокий риск Средний Низкий Видно, что большая часть уязвимостей приходится на первые 30% систем. Остальные уязвимости распределены практически равно- мерно по остальным системам. 0% 5% 25% 20% 30% 35% 40% 45% 15% 10% 1 | 43,7 2 | 17,1 3 | 9,8 4 | 4,4 5 | 4,2 6 | 4,2 7 | 4,2 8 | 4,2 9 | 4,2 10 | 4,2 Этот результат дает статическое представление системы на слу- чайную дату. Достаточно ли этого представления для полноценной оценки уровня защищенности сетевого периметра? Чтобы понять, происходят ли изменения на сетевом периметре, мы разбили результаты исследования на 10 равных временных отрезков. Для каждого выгрузили количество новых сервисов и уязвимостей. Результат показал, что периметр постоянно меняется. 1 | 0,39 | 6,32 | 0,85 2 | 0,67 | 3,73 | 1,17 3 | 1,48 | 16,11 | 4,14 4 | 1,14 | 8,76 | 0,50 5 | 0,94 | 3,84 | 0,66 6 | 0,92 | 13,49 | 2,44 7 | 0,34 | 2,03 | 0,50 8 | 1,81 | 19,14 | 3,86 9 | 0,37 | 1,19 | 0,42 10 | 0,36 | 1,12 | 0,38 Высокий Средний Низкий Доля новых уязвимостей Доля новых сервисов 0% 10% 20% 13 // критически важные инфраструктуры 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 Поэтому нельзя использовать статическое распределение уязвимостей. Лучший вариант отображения изменений во времени удалось най- ти в финансовой сфере. Для отображения колебаний используется специальная диаграмма — японские свечи: в тело свечи мы поме- стим начало и завершение исследуемого периметра, а фитили будут отображать минимальное и максимальное значение распределения уязвимостей. Снижение параметров — признак улучшения: серая свеча обозначает уменьшение доли уязвимостей, красная — увели- чение доли. Эти результаты подтверждают предположение о распределении большей части уязвимостей на 30% самых уязвимых систем: двери открыты, поехали? В первый временной интервал попало около 1300 уязвимых систем. Распределение уязвимостей на этих системах будет выглядеть сле- дующим образом: 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 0 10 20 30 40 50 60 70 1300 систем | 0 10 20 30 40 50 60 70 | 80 систем 1300 систем | 1200 систем | Из 1300 уязвимых систем 80 содержали уязвимости с высокими зна- чениями CVSS и четверть этих систем — более одной уязвимости с высоким значением CVSS. Мы считаем этот участок самым опасным, поэтому сопоставили их с информацией об эксплуатации уязвимо- стей в базе знаний PT KB. По завершении этой проверки мы получили: 1. Информацию о доступности инструментов для эксплуатации уязвимости: 4 | Новые уязвимости, для эксплуатации которых не требуются специальные утилиты 0 | Новые уязвимости, для которых существуют эксплойты в открытом доступе 7 | Новые уязвимости, для которых не найдены инструменты эксплуатации 54 | Уязвимости, для эксплуатации которых не требуются специальные утилиты 45 | Уязвимости, для которых существуют эксплойты в открытом доступе 14 | Приватные эксплойты 11 | Уязвимости, для которых не найдены инструменты эксплуатации 29 | Стандартная учетная запись 14 | Удаленное выполнение кода или отказ в обслуживании 32 | Удаленное выполнение кода 14 | Несанкционированный доступ 3 | Раскрытие информации 43 | Отказ в обслуживании 2. Тип влияния уязвимости на компоненты системы: Уровень опасности рассматриваемых уязвимостей на начало иссле- дования был весьма высок: более чем для половины уязвимостей существуют общедоступные инструменты, а четверть позволяет уда- ленно выполнить код. Для 46 уязвимостей удаленного выполнения кода (RCE) было обнаружено 36 эксплойтов, из них для 6 имеются готовые инструменты в открытом доступе, а 16 могли быть использо- ваны с применением стандартных хакерских инструментов: positive research 2016 14 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 Уровень злоумышленника, который может воспользоваться такой уязвимостью, весьма низкий: достаточно иметь базовые знания и до- ступ к Metasploit. Максимальное количество уязвимостей было зафиксировано в од- ном из временных периодов: 1700 систем уязвимы, из них 120 содер- жали уязвимости с высоким уровнем CVSS. Благодаря повышению уровня защищенности на момент заверше- ния исследования количество уязвимых систем уменьшилось до 900. Систем, содержащих более двух уязвимостей с высоким CVSS, не осталось: остались только новые уязвимости. 900 систем | 0 10 20 30 40 50 60 70 | 80 систем 900 систем | 800 систем | 0 10 20 30 40 50 60 70 Ниже приведена информация о доступности эксплойтов для этих уязвимостей. 64 | Устранено Устранено 0 | Новые уязвимости, для эксплуатации которых не требуются специальные утилиты 11 | Новые уязвимости, для которых существуют эксплойты в открытом доступе 0 | Новые уязвимости, для которых не найдены инструменты эксплуатации 18 | Уязвимости, для эксплуатации которых не требуются специальные утилиты 39 | Уязвимости, для которых существуют эксплойты в открытом доступе 3 | Приватные эксплойты 0 | Уязвимости, для которых не найдены инструменты эксплуатации 18 | Стандартная учетная запись 0 | Удаленное выполнение кода или отказ в обслуживании 32 | Удаленное выполнение кода 0 | Несанкционированный доступ 0 | Раскрытие информации 21 | Отказ в обслуживании 64 | Устранено Устранено Если мы сопоставим эти результаты, то увидим, что все еще остается много RCE-уязвимостей с готовыми эксплойтами (32). Более того, 29 из указанных уязвимостей — повышенного риска, так как инструмен- тарий для их эксплуатации размещен в открытом доступе. | Уязвимости, для которых не найдены инструменты эксплуатации | |