2019/11/13 07:59:09

Информационная безопасность в компании

Информационная безопасность — это всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Содержание

Основная статья: Информационная безопасность

2019

«СёрчИнформ»: 75% ИБ-специалистов считают, что их компания защищена недостаточно

11 ноября 2019 года компания «СёрчИнформ» представила результаты опроса представителей служб информационной безопасности о главных ИБ-угрозах и о том, как повысить уровень защищенности бизнеса.

Согласно опросу, мошеннические схемы ИБ-специалисты считают самой большой угрозой внутренней безопасности компании. 45% опрошенных сообщили, что откаты, боковые схемы и махинации с документами грозят наибольшим ущербом. На втором месте – сливы данных. О серьезности этой угрозы сообщили 19% опрошенных. Промышленный шпионаж, саботаж и нерациональное использование рабочего времени и ресурсов сотрудниками беспокоит 14,5% специалистов по безопасности.

Данные исследования «СёрчИнформ»

При этом только 15% представителей служб безопасности говорят о том, что в компании обеспечен достаточный уровень защищенности. Остальные опрошенные считают, что им не хватает «рук» – об этом сообщила почти половина опрошенных. 22% сказали, что нужны более продвинутые технические средства защиты. Еще 15% признали, что в компании не хватает ни «рук», ни технической оснащенности.

Данные исследования «СёрчИнформ»

Что касается обеспеченности кадрами, только 2% опрошенных считают, что на рынке ИБ в них нет недостатка. 12% обозначают ситуацию как «острый кадровый голод», большинство – 79% – говорят о том, что специалиста можно найти, но на это уходит много времени.

Данные исследования «СёрчИнформ»

В результате почти половина компаний вынуждены растить кадры самостоятельно, а 15% переманивают специалистов у конкурентов.

Данные исследования «СёрчИнформ»

53% считают, что не все российские компании пока готовы к тому, чтобы отдать вопрос внештатным специалистам. Но более трети опрошенных считают, что аутсорсинг информационной безопасности способствовал бы улучшению ситуации.

Данные исследования «СёрчИнформ»
«
«Две трети опрошенных считают, что их компании защищены недостаточно, и эти цифры, казалось бы, выглядят пугающими. Но для сферы информационной безопасности нормально и правильно исходить из пессимистичных оценок ситуации, потому что это позволяет предусмотреть по-настоящему эффективные меры защиты. Повышаются требования к мерам по обеспечению ИБ и к роли специалиста. Но на фоне этих оценок тревожно выглядит, что ИБ-службы фактически недофинансированы. Только 2% опрошенных не испытывает кадровый голод, а более 36% нуждается в дополнительном техническом инструментарии. При этом отношение к аутсорсингу как к альтернативному решению проблемы сохраняется скептическим. Хотя ситуация меняется: еще 2-3 года назад ИБ-специалисты были уверены, что анализ внутренних процессов категорически противопоказано передавать за штат. Со временем скопились примеры удачных практик, и аутсорсинг становится все более распространен»,

отметил Георгий Минасян, директор по безопасности «СёрчИнформ»
»

Исследование «Кода безопасности»: слабым звеном в защите конечных точек является персонал

Компания «Код безопасности» провела аналитическое исследование о защите конечных точек, выявив существующие проблемы и решения. Эксперты определили актуальные векторы атак, самые опасные последствия инцидентов для разных отраслей, а также распространенность различных типов средств защиты. Результаты исследования показали, что наиболее актуальными являются атаки, связанные с действиями персонала. Об этом 21 октября 2019 года сообщили в компании «Код безопасности».

Для оценки особенностей обеспечения ИБ на конечных точках аналитики «Кода безопасности» опросили 220 специалистов ИБ-подразделений организаций из 10 отраслей: госсектор, здравоохранение, ИТ и телеком, образование, промышленность, транспорт, топливно-энергетический комплекс, торговля и услуги, культура и финансы.

Цифровизация российской экономики – один из основных трендов развития информационных технологий. Повсеместно внедряются искусственный интеллект, машинное зрение и обучение, интернет вещей, виртуальная и дополненная реальности, облачные решения. Вместе с тем цифровизация приносит и новые поводы для беспокойства: количество векторов атак неизбежно увеличивается. По данным исследования «Защита корпоративных сетей», почти половина респондентов считают, что наибольшую опасность представляет атака на рабочие станции. Аналитики «Кода безопасности» выявили наиболее актуальные векторы атак в 2019 году.

Данные исследования компании «Код безопасности»

Как отметили респонденты, одной из самых больших угроз для ИТ-инфраструктуры является собственный персонал. Чтобы снизить риск, необходимо предпринимать меры организационного (разделение полномочий, принцип минимально необходимых прав) и обучающего (обучение основам цифровой гигиены, регулярные тестирования и проверки знаний) характера.

Высокая актуальность атак, связанных с наличием уязвимостей в операционной системе и прикладном программном обеспечении, вызвана развитием ИТ-инфраструктуры и неэффективными внутренними процессами управления уязвимостями. Для решения этих задач необходимо отладить процесс приоритизации обновлений и инвестировать в мониторинг безопасности и своевременную адаптацию политики безопасности средств защиты.

Каждый пятый респондент отметил актуальность атак с использованием закладок. Большая часть мер, которые помогут справиться с этим типом атак, находится в области управления поставщиками и управления цепочками поставок. Также целесообразными могут быть спецпроверки и специсследования критичных элементов ИТ-инфраструктуры.

Последствия любых атак и, соответственно, приоритет при выделении ресурсов на те или иные задачи обеспечения информационной безопасности значительно различаются в зависимости от отрасли. Эксперты «Кода безопасности» выделили наиболее актуальные виды последствий: штраф регуляторов, остановка бизнес-процессов, кража денег, репутационный ущерб и пр.

Штрафа со стороны регуляторов больше всего опасаются организации с жестким регулированием: государственные компании (62%), организации здравоохранения (62%), образовательные (41%) и финансовые организации (40%). Многие отрасли наиболее неприятным последствием ИБ-угроз считают остановку бизнес-процессов. Важным по значению стал репутационный ущерб: для транспортной отрасли (81%); компаний ИТ и телекома (79%); образовательных организаций (65%), финансового сектора (60%). Банки и другие финансовые компании отмечают повышенную озабоченность последствиями, связанными с кражей денежных средств.

Информационную безопасность можно обеспечить только комплексными мерами защиты, важную часть которых составляют технические средства. В свою очередь, большой «парк» средств защиты может создать сложности для ИТ-инфраструктуры компании, считают исследователи.

Данные исследования компании «Код безопасности»

Основной «киберболью» при использовании средств защиты конечных точек для пользователей стало снижение производительности системы – его отметили 66% респондентов. На второе место участники рынка поставили конфликты между различными СЗИ, установленными в системе, – 64%. И 49% ИБ-специалистов назвали ключевым неудобство, связанное с конфликтами эксплуатируемых СЗИ с прикладным ПО.

Государство продолжает активно стимулировать переход российских организаций на отечественные решения. В процессе импортозамещения ИТ-инфраструктуры выделилась группа лидеров с наиболее зрелыми предложениями. Среди операционных систем – это РусБИТех и Базальт СПО, среди телекоммуникационного оборудования – Eltex. Уровень готовности переходить на российские продукты постепенно растет.

Данные исследования компании «Код безопасности»

С 2018 года число российских организаций, планирующих использовать отечественные решения, увеличилось на 12%. Планируют заменить следующие ИТ-элементы: персональные компьютеры (21%); серверы (17%); сетевое оборудование (16%); системы хранения данных (7%); планшеты (4%). 2/3 участников опроса отметили, что не планируют ничего менять.

Сегментация или группирование компьютеров в отдельные группы по каким-либо признакам проводится для повышения доступности необходимых данных авторизованным сотрудникам и ограничения доступности данных неавторизованным сотрудникам. Большая часть российских компаний (68%) осознает важность организации сегментированной внутренней сети для предотвращения атак на критические ресурсы системы.

Данные исследования компании «Код безопасности»

Большинство респондентов (79%) отдают предпочтение аппаратным типам решений. Программные средства, позволяющие обеспечить сегментирование при меньших бюджетах в виртуальных инфраструктурах, а также в сетях сложной топологии, используют 17% опрошенных. Основная причина, по которой компании не используют решения для сегментации сети, – это отсутствие финансирования; на втором месте – нехватка специалистов для эксплуатации средств сегментации.

По мере развития ландшафта угроз и повышения требований к корпоративной системе информационной безопасности на рынке появляется все больше средств защиты.

Данные исследования компании «Код безопасности»

По результатам опроса исследователи выделили две большие группы используемых СЗИ: приоритетные и дополнительные. В число приоритетных входят межсетевой экран (86%), антивирус (82%), система обнаружения вторжений (67%) и средства защиты от несанкционированного доступа (65%). Вторая группа – дополнительные средства защиты, которые используются для защиты от специфических рисков ИБ. В их число входят системы защиты от утечек (DLP, 35%), системы управления событиями ИБ (SIEM, 30%), песочницы (Sandbox, 20%), межсетевые экраны уровня веб-приложений (WAF, 14%), системы глубокого анализа трафика (DPI, 10%) и системы обнаружения и реагирования на сложные угрозы (EDR, 6%).

В компании «Код безопасности» считают, что эффективная стратегия защиты конечных точек должна включать в себя ряд мер, которые условно можно разделить на организационные и технические.

В число технических мер входят:

  • Внедрение комбинации системы защиты от вредоносного ПО и системы защиты от несанкционированного доступа к данным. Причем на этапе выбора стоит отдавать предпочтение совместимым и простым в настройке средствам защиты. В случае с рабочими станциями приоритет нужно отдавать средствам защиты от вредоносного кода. Для серверов, в свою очередь, более подходящим является подход замкнутой программной среды, когда с помощью средства защиты запрещается запуск любого неавторизованного кода и осуществляется глубокий контроль целостности файлов, процессов и драйверов ОС.
  • Сегментация внутренней сети. Она позволит ограничить распространение злоумышленника, если он все же получил несанкционированный доступ к конечным точкам внутри сети. Сегментация может быть реализована как аппаратными средствами (межсетевым экраном), так и программным модулем, встроенным в СЗИ от НСД.

В число организационных мер входят:

  • Риск-ориентированное управление уязвимостями. Организация должна не просто вести список обнаруженных уязвимостей, она должна внедрить практику оценки опасности уязвимости для своей инфраструктуры.
  • Обучение пользователей. Необходима комбинация мер из очного и удаленного обучения, регулярной проверки знаний пользователей и тестирования их бдительности с помощью специальных инструментов, эмулирующих фишинг.

Accenture: основные угрозы информационной безопасности бизнеса

20 сентября 2019 года компания Accenture представила результаты исследования, в котором выявила основные угрозы информационной безопасности бизнеса в 2019 году.

По оценке Accenture, рынок сервисов кибербезопасности растет темпами, аналогичными рынкам Digital и ИТ. Accenture прогнозирует, что к 2021 году объем мирового рынка ИБ увеличится на 66% и составит $202 млрд. При этом совокупный мировой ущерб от кибератак может вырасти к 2021 году на 39% до $2,1 млрд.

В глобальном отчете Accenture приводит основные тренды в области кибербезопасности бизнеса в 2019 году.

Первый тренд связан с дезинформацией. Авторы отчета отмечают, что вслед за политической дезинформацией, цель которой - повлиять на общественное мнение, все активнее набирает обороты экономическая дезинформация. Финансовая сфера, и, в частности, высокочастотные торговые алгоритмы, основанные на быстрых текстовых источниках информации, в будущем будут подвергаться широкомасштабным атакам.

По мнению Андрея Тимошенко, менеджера по информационной безопасности Accenture в России, развитие методов машинного обучения, искусственного интеллекта (ИИ) и внедрение сетей связи на базе технологии 5G даст широкие возможности для производства и распространения дезинформации.

«
«Одним из примеров применения ИИ является создание высококачественных поддельных изображений или видео, которые можно использовать для дискредитации и шантажа политического оппонента, конкурирующей компании или создания массовой паники. Технология 5G также создает серьезные риски – контроль над оборудованием и программным обеспечением инфраструктуры 5G может позволить небольшой группе компаний или злоумышленников проводить информационные операции, подделывая или распространяя дезинформацию для больших групп пользователей 5G»,

отметил Андрей Тимошенко
»

Второй тренд – объединение киберпреступников в синдикаты и совместное использование продвинутых инструментов, автоматизирующих процесс массового производства и распространения вредоносного программного обеспечения, спама и приложений для рассылки вредоносных программ с использованием современных технологий, таких как облака, big data, ИИ. С синдикатами, работающими вместе, границы между группами- источниками угроз становятся еще более размытыми, что делает идентификацию киберпреступного агента еще более сложной.

Помимо заражения вирусами-шифровальщиками (программы вымогатели) с помощью организации крупномасштабных спам-кампаний, злоумышленники все чаще внедряют их непосредственно в сети организаций, приобретая удаленный доступ к скомпрометированным серверам в подпольных хакерских сообществах и маркетплейсах вредоносного ПО. Это значит, что «киберпреступники будут продолжать менять свою тактику, чтобы уменьшить риски обнаружения и неудач», – говорится в отчете.

«
«Применение методов машинного обучения и искусственного интеллекта в фишинговых атаках позволит киберпреступникам увеличивать их эффективность и приведет к еще более массовому распространению вирусов-шифровальщиков, которые могут стать главным орудием в кибервойнах»,

отметил Андрей Тимошенко
»

Еще один тренд связан с уязвимостью экосистем. Этот бизнес зависит от взаимосвязанности элементов системы, а связи увеличивают подверженность компаний риску. Появляющиеся в цепочках угрозы превращают друзей, партнеров и клиентов компании в источник опасности. «Организации могут попытаться улучшить защиту за счет обмена информацией о киберугрозах, с помощью включения ИБ-проверки и тестирования поставщиков и партнеров, а также внедрения отраслевых правил по безопасности и стандартов управления рисками», – говорится в отчете.

По словам Андрея Тимошенко, в России работают группы компаний, которые были сформированы в результате слияний и поглощений организаций с разным уровнем развития ИТ и разным уровнем обеспечения безопасности.

«
«Важной задачей групп компаний и экосистем является приведение системы защиты к общему знаменателю. Одним из вариантов ее решения может быть централизация системы защиты с использованием облачных технологий»,

отметил Андрей Тимошенко
»

По мнению авторов исследования, компании должны смотреть на вопрос кибербезопасности комплексно и учитывать слабые стороны и уязвимости партнеров и третьих лиц в своих киберстратегиях. Они должны научиться создавать центры безопасности, адаптируя применяющиеся подходы к последним требованиям.

«
«Тенденции, указанные в исследовании, в глобальных угрозах безопасности применимы и к России, возможно в меньших масштабах из-за размеров экономики. Но Россия является частью глобального ИТ-мира, использует зарубежные ИТ-платформы с их преимуществами и уязвимостями и не может изолироваться»,

отметил Андрей Тимошенко
»

По его словам, компьютерные инциденты последних двух-трех лет затронули и российские компании, что мотивирует владельцев и руководство инвестировать в устойчивое и безопасное развитие. При этом наблюдается нехватка квалифицированных специалистов по ИБ внутри компаний, а сфера безопасности является настолько обширной, что требует различных, не всегда легко совместимых компетенций. В связи с этим многие обращаются к внешним поставщикам услуг безопасности.

75% компаний не уверены в эффективности своей системы кибербезопасности

16 июля 2019 года стало известно, что только четверть (25%) ведущих компаний по региону EMEA (Европа, Ближний Восток, Африка) уверены в надежности своей системы информационной безопасности. Эти данные были получены VMware в рамках совместного исследования с Forbes Insights.

Почти три четверти (70%) лидеров российского рынка и специалистов по информационной безопасности считают, что решения, которые их организация применяет для защиты своих систем, устарели. При этом 42% опрошенных отмечают, что за 2018 год их компания приобрела более свежие инструменты, направленные на борьбу с потенциальными угрозами. 75% респондентов планируют увеличить расходы на обнаружение и идентификацию атак. При этом 20% участников исследования сообщили, что их организация уже применяет 26 и более решений для безопасности.

Всего 13% ИТ-специалистов утверждают, что разрешение проблем, связанных с кибербезопасностью, занимает менее одной недели. В современном мире, где обработка данных производится в режиме реального времени, число интернет-пользователей ежедневно увеличивается более чем на миллион человек, а большая часть операций проходит через приложения в считанные секунды, такой медленный отклик представляет серьезную опасность.

Особенно драматично то, что многие компании сталкиваются с парадоксом продуктивности, когда расходы на ИБ растут, а эффективность — нет. Так, в России 96% опрошенных планируют внедрить свежие ИБ решения в течение трех ближайших лет.

Исследование, в котором приняли участие 650 компаний Европы, Ближнего Востока и Африки, позволило выявить опасную тенденцию: для борьбы с последними киберугрозами предприятия используют медленные и неэффективные методы. При этом, по данным Европейского союза, масштабы экономических последствий киберпреступности увеличились в пять раз по сравнению с 2013 годом.

Сложившийся подход к безопасности привел к тому, что организации все чаще считают себя незащищенными перед лицом киберугроз. Только четверть (26,6%) респондентов заявили, что полностью уверены в надежности своих облачных развертываний. И лишь 23,3% опрошенных уверены в готовности своих сотрудников разрешать проблемы, связанные с безопасностью.

Руководители компаний и их команды по безопасности совершенно по-разному представляют себе прогресс и совместную работу в сфере борьбы с киберугрозами. Всего 36% ИТ-специалистов считают, что руководители высшего звена их предприятий достаточно отзывчивы и активно участвуют в разрешении проблем такого рода. В то же время 27% руководителей заявляют, что уделяют значительное внимание совместной работе в области обеспечения кибербезопасности. С этим утверждением согласно всего 16% опрошенных профессионалов в области информационной безопасности.

2018: Check Point: 97% компаний не готовы к кибератакам «Пятого поколения»

Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код. Также специалисты Check Point отмечают, что количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти.

«
мы наблюдаем следующее поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки «Пятого поколения» (Gen V), — отметил Питер Александер, директор по маркетингу Check Point Software Technologies. — 77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам, и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарело.
»

Чтобы получить больше информации о современном ландшафте киберугроз, Check Point опросил 443 ИТ- и ИБ-специалистов по всему миру о вызовах, с которыми они сталкиваются, отражая атаки «Пятого поколения». Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками «Пятого поколения».

«
Согласно данным 2018 Security Report, кибератаки Gen V становятся все более частыми, — отметил Дуг Кахил, руководитель группы и старший аналитик по кибербезопасности Enterprise Strategy Group. — Риску подвержены все: медицинские учреждения, государственные сервисы, крупные корпорации и т.д. 97% компаний не обладают решениями, способными противостоять кибератакам Gen V, и это нужно менять.
»

По информации Check Point, 2018 Security Report опирается на данные многочисленных исследований среди ИТ-директоров и руководителей бизнеса, а также отчетов Check Point’s Threat Cloud и Threat Intelligence Report. Исследование охватывает все современные угрозы, направленные на различные отрасли, такие как здравоохранение, промышленность и государственные структуры.

2017

PwC: Большинство российских компаний не могут противостоять кибератакам

Большинство российских компаний не могут успешно противостоять кибератакам, говорится в исследовании международной консалтинговой компании PwC, выпущенном в ноябре 2017 года.[1].

В PwC считают, что компании должны инвестировать время и средства в  технологии обеспечения кибербезопасности
В PwC считают, что компании должны инвестировать время и средства в технологии обеспечения кибербезопасности

Половина российских респондентов отмечает, что в их компаниях нет общей стратегии информационной безопасности, а в 48% компаний нет программы обучения, направленной на повышение уровня осведомленности сотрудников в вопросах безопасности.

Кроме того, 56% компаний признались, что у них не отработан процесс реагирования на кибератаки. В способности найти хакеров полностью уверены лишь 19% участников исследования PwC в России и 39% респондентов во всем мире.

Среди основных мер для обнаружения киберрисков российские участники опроса назвали оценку киберугроз (50%), постоянный мониторинг системы информационной безопасности (48%), оценку уровня уязвимости (44%) и тест на проникновение для проверки системы защиты (40%).

Почти четверть российских компаний утверждают, что к проблемам с информационной безопасностью привело использование мобильных устройств. Этот фактор занял второе место после фишинговых атак, которые лидируют среди называемых угроз.

«
Киберинциденты происходят каждый день, при этом бренду и репутации компании, ставшей объектом хакерской атаки, наносится серьезный ущерб. Компаниям необходимо защищать доверие со стороны клиентов путем инвестирования времени и средств в работу по внедрению надлежащих систем и технологий, направленных на обеспечение кибербезопасности, — отметил руководитель практики по оказанию услуг в области информационной безопасности PwC в России Роман Чаплыгин.
»

По его словам, еще одним эффективным инструментом в борьбе с киберпреступностью может стать регулярный обмен информацией между компаниями.

Реальные примеры незащищенности ИТ-систем крупных компаний

При проведении аудита информационной безопасности эксперты сталкиваются со множеством самых разных уязвимостей. Некоторые из них вызывают как минимум удивление, даже притом, что испытывать какие-либо иллюзии специалистам по ИБ уже давно не свойственно.

В октябре 2017 года TAdviser получил от экспертов обзор, в котором приводится несколько особо выдающихся примеров того, насколько небезопасны могут быть системы крупных и состоятельных коммерческих компаний.

Тут нужно оговориться, что все эти компании имеют более чем адекватное понимание необходимости защищать свои внутренние ресурсы. В этом отношении компании следуют установленным best practices и регламентированным стандартам в сфере информбезопасности.

Однако в ходе скрупулёзного тестирования внутренних систем «в ручном режиме» выявлялись различные архитектурные промахи, обеспечивавшие потенциальным хакерам широчайшие возможности для компрометации. Все приведённые примеры — совершенно реальны. По само собой разумеющимся причинам названия конкретных фирм и организаций приводиться не будут.

Эпизод I: Крупная страховая компания обращается с просьбой провести аудит её внутренних систем. Таковых сразу несколько. Отдельная система отвечает за учёт данных, другая — за генерацию отчётности, третья — за введение операционной деятельности и так далее.

В процессе исследования эксперты натыкаются на ряд уязвимостей, позволяющих проводить целый ряд мошеннических действий в обход действующих инструментов разграничения доступа и нанести немалый ущерб всему бизнесу компании.

Например, одна из таких архитектурных уязвимостей позволяла красть авторизационные токены и использовать их для проведения атаки типа межсайтовой подделки запроса, притом что эти токены как раз и нужны для защиты от подобных атак. Проблема была в том, что в старом Java-приложении, написанном ещё в прошлом десятилетии, отсутствовала защита от CSRF-атак; разработчики не захотели полностью отказываться от этого приложения, вместо этого в него интегрировали готовое стороннее решение для защиты от CSRF, однако несмотря на эти изменения система осталась порядком уязвимой.

Как следствие, злоумышленник мог либо скрытно создавать в системе аккаунты с администраторскими полномочиями, либо захватывать большое количество учетных записей и совершать из-под них реальную операционную деятельность.

В частности, существовала возможность обходить верхний лимит страхового возмещения: сумма компенсации проверялась только на стороне клиента, серверная часть спокойно принимала значения, посланные с приложения-клиента. Под контролем злоумышленника могло оказаться множество учётных записей, и мошеннические действия он мог совершать из-под любой из них или даже сразу нескольких, что заметно затрудняло бы расследование инцидента.

Потенциально всё вместе это могло означать огромный ущерб, причём не только финансовый, но и репутационный.

Эпизод II: Крупная сервисная компания, предоставляющая услуги швейцарским телекомам, запрашивает проверку интернет-приложения, написанного для своих сотрудников.

Это приложение оказалось весьма проблемным само по себе. Уязвимости носили преимущественно типичный характер; некоторые недочёты были связаны с использованием «умолчательных» настроек, которые надо было менять при каждом развёртывании приложения.

Например, по умолчанию пользователям был доступен не только функционал SCP (Secure Copy), но и shell-доступ. Его необходимо было отключать, однако этого сделано не было.

Однако в процессе дальнейших исследований выявилось немало проблем с настройками серверов, обеспечивавших злоумышленникам самые широкие возможности.

Например, на сервере настройки фаерволла отсутствовали, что означало возможность инициировать любые соединения, входящие и исходящие, без ограничений; сохранялась активной функция проброса портов (port forwading), а это, по сути, аналог VPN-канала внутрь сети всей организации.

В целом при наличии доступа к аккаунту рядового сотрудника злоумышленник мог бы авторизоваться по SSH на одном из серверов компании (при этом у него появлялась ещё и возможность повысить свои привилегии до уровня суперпользователя) и развивать атаку на внутренние системы фирмы. Со всеми вытекающими.

Эпизод III: Сеть гипермаркетов запросила тестирование своего приложения для программы лояльности. Как и у многих других крупных торговых сетей, у нашего клиента существует собственная программа лояльности, с мобильным приложением в качестве одного из основных инструментов, и собственная платёжная система. Инфраструктура использовала ресурсы облачного сервиса Azure, используя предлагаемые им инструменты защиты.

Как выяснилось, в этой программе лояльности существуют весьма серьёзные уязвимости, позволяющие, в частности, компрометировать пользовательские аккаунты, подбирать секретные коды защиты, используемые при аутентификации платежей.

Была выявлена также проблема с проверочными транзакциями, которые осуществляются при привязке кредитной карты пользователя к программе лояльности. Как оказалось, такие транзакции (объёмом в один евроцент) можно проводить многократно, причём единственным ограничением на такой вывод средств могут послужить лишь фрод-мониторинг на стороне платёжного процессинга владельца карты. Если антифрод-средств нет, то нет и ограничений на количество таких транзакций.

Эксплуатация этой уязвимости могла бы означать огромный репутационный ущерб для торговой сети.

Эпизод IV: Крупный банк поручил провести аудит своего специализированного приложения, предназначенного для управления инвестициями.

Приложение представляет собой «толстый клиент», то есть обычное десктоп-приложение, доступное через VPN. Приложение оказалось полно уязвимостей разного рода, причём некоторые из них были абсолютно критическими, обеспечивающими огромную «поверхность атаки» для потенциальных злоумышленников.

Например, для развертывания приложения использовалась технология виртуального окружения, развертываемая при помощи Citrix XenApp. Разработки Citrix снабжены довольно эффективными средствами защиты, и в данном случае они были надлежащим образом активированы.

Однако во время аудита безопасности приложения удалось обнаружить в нём возможность совершать так называемый «побег» (breakout) из защищённой среды и получать доступ к серверу, находящемуся в соответствующем сегменте сети, что само по себе открывает огромные возможности по развитию атаки.

При дальнейшем аудите приложения удалось узнать аутентификационные данные базы данных Oracle: приложение общалось с базой напрямую, минуя какие-либо программные интерфейсы — подобный подход нельзя назвать безопасным.

Нетрудно представить себе, что это может означать для банка — организации, работающей с личными данными и деньгами множества людей и организаций. Успешная эксплуатация выявленных уязвимостей означала бы огромные финансовые, и, что не менее существенно, репутационные потери.

Заключение

Вопрос не в том, есть ли в инфраструктуре той или иной компании уязвимые места. Критичные или некритичные, но уязвимости есть и будут, и это объективная данность.

Вопрос в том, как к этому относятся сами владельцы бизнеса и технические специалисты. Готовы ли они рассматривать это как некую «абстрактную данность», то есть, игнорировать и, как следствие, рисковать и деньгами, и репутацией ради малозначимой экономии, или же делают то, что и следует делать — регулярно проводят аудит своей защищённости, собственными силами или привлекая внешних экспертов.

Внешний аудит — куда более продуктивный подход, уже в силу того, что сторонние эксперты могут посвящать проверке максимум ресурсов, — отметил Георгий Лагода, генеральный директор компании SEC Consult Services, проводившей описываемые исследования. — А значит, очень маловероятно, что они упустят что-либо.

См. также

Примечания