Кибербезопасность-2017: типичные ошибки и советы по защите

Определитесь с обновлением ПО

Больше всего шума в 2017 году наделали вирусы WannaCry и Petya. Они использовали схожие уязвимости, поэтому пример WannaCry можно считать типичным для обоих зловредов.

WannaCry был одной из самых массовых атак 2017 года: по оценке Европола, ей подверглись около 200 тыс. компьютеров в 150 странах. Для атаки на столь большое число целей не нужна армия программистов, достаточно одной уязвимости, которой будет подвержено множество пользователей и компаний. Чтобы атака смогла стать массовой, уязвимость, которой она пользуется, должна присутствовать в массово используемом продукте. Например, в операционной системе (ОС). В случае с WannaCry злоумышленники использовали уязвимость в ОС Microsoft Windows, а конкретно – в протоколе удаленного доступа под названием SMBv1. Данный протокол применялся в очень большом спектре ОС – от Windows XP до Windows 10. WannaCry блокировал ОС пользователя и вымогал у него деньги в биткоинах.

Здесь мы подходим к сути проблемы. Еще 14 марта 2017 года, за три месяца до массовой атаки, Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. Однако установили его далеко не все.

Обновления ПО выходят постоянно: на ОС, на прикладное ПО, на оборудование и т. д. Можно сказать, что они сыпятся как из рога изобилия. Однако зачастую пользователи не спешат их устанавливать. Причина не только в лени или забывчивости, а в том числе в желании проверить, не сломает ли обновление что-то критически важное в компании. Ведь если IT-специалист бездумно будет ставить все обновления подряд, это может привести к серьезным последствиям для любой компании, зависимой от IT-систем. Так что же делать?

Если вы аудитор, владелец или просто ключевой пользователь IT-системы, поинтересуйтесь у ответственных за нее IT-специалистов, как часто ставятся все требуемые обновления для вашей системы. И есть ли среди неустановленных обновлений относящиеся к информационной безопасности.

Совет № 1: потратьте час времени и совместно с IT-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем так, чтобы не пострадали ваши бизнес-процессы, а ваша система максимально оперативно получала все обновления информационной безопасности. В компании должен быть процесс установки обновлений ПО и операционных систем с указанием владельца процесса, ответственных за установку обновлений и контроль установки обновлений, а также четкие временные рамки установки обновлений в зависимости от степени критичности информационных систем и сервисов.

Проверяйте внешние порты

WannaCry и Petya наделали много шума как в компаниях, так и в СМИ. Но часто самыми опасными являются не те атаки, которые сразу заметил весь мир, а те, что остаются незамеченными. Одним из видов хакерской атаки является получение доступа (естественно, никем не санкционированного) к IT-системам компании. Что может делать с этим доступом злоумышленник? В сущности, всё что угодно. В случае с банками – получить полный доступ к счетам, персональным данным и другой информации клиентов, которая хранится в базах данных компании.

Есть множество подходов к тому, как злоумышленники получают данный доступ. Мы остановимся на подходе, который для злоумышленника имеет широкий охват и часто не требует большого количества усилий. Это мониторинг специфических сетевых портов. И в случае, если они открыты, попытки с их помощью получить доступ к информационным системам.

Как ведут себя злоумышленники? Есть множество сервисов, позволяющих проверить, открыты ли порты, используемые для управления системами и сервисами (например, SSH (порт 22), TELNET (порт 23), RDP (порт 3389)). Пример подобного сервиса. Это что-то вроде Google, только о сетевых портах, типах используемого оборудования, наименованиях и версиях используемого ПО.

Помимо этого, в свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости. Стоит отметить, что порог начального вхождения в данную область крайне низкий и не требует проведения специальной подготовки, что позволяет потенциальному злоумышленнику приступить к возможному осуществлению своих злонамеренных действий сразу же после установки специализированного ПО.

Примером таких инструментов являются популярные среди специалистов по практической информационной безопасности дистрибутивы операционных систем с предустановленным и настроенным программным обеспечением (например, Kali Linux, BlackArch Linux, ParrotSec), а также отдельные инструменты хакерских группировок, которые стали доступны широкой общественности. Например, набор специализированного ПО, созданного группировкой Equation Group, включающий различные инструменты для получения доступа к сетевому оборудованию, операционным системам и сервисам.

Зачем злоумышленнику знать, какие порты у вас открыты? Если, например, открыт порт SSH, можно «натравить» на него программу подбора пароля. Данная программа будет бесконечно подбирать пароль к какой-нибудь учетной записи, например admin. И как только пароль будет подобран – путь открыт. Дальнейшие выгоды для взломщика и, соответственно, ущерб для жертвы будут зависеть от профессионализма и желаний злоумышленника.

Помимо учетных записей администраторов, лакомой целью для злоумышленника может являться получение доступа к технологическим учетным записям, часто имеющим широкие полномочия. Но контроль за ними значительно ниже.

Совет № 2: попросите IT-специалистов (и убедитесь в этом сами) выполнить следующие пять базовых условий:

• Недоступны из Интернета порты, используемые для удаленного управления системами и сервисами (например, 22-, 23-, 3389-порты). Если же по какой-то причине доступ необходим, переопределите порт доступа со стандартного на любой другой. Например, переконфигурируйте службу SSH со стандартного порта 22 на порт 2220 и/или перейдите на использование ключей доступа вместо паролей. В этом случае количество автоматических переборов паролей резко уменьшится.
• Сетевое оборудование, обеспечивающее доступ из/в Интернет сконфигурировано корректно. То есть сотрудники IT и информационной безопасности четко понимают, для каких целей, по какой заявке и кем было создано правило пропуска трафика из/в корпоративную сеть компании.
• В информационной системе нет неизвестных/уволенных пользователей, особенно с административными правами.
• Изменены и регулярно обновляются пароли на учетных записях администраторов, согласно парольной политике компании, а в идеале используются выделенные учетные записи для задач администрирования (например, ivanov_adm, petrov_adm).
• Заблокировано использование технологических учетных записей пользователями (например, пользователь не может войти в систему с использованием технологической учетной записи).

Разберитесь с подрядчиками

Почти в каждой компании уже есть хорошо организованные и удобные «ворота» в информационные системы. Они используются для систем, которые поддерживаются не внутри самой компании, а внешними подрядчиками. Довольно удобным вариантом для атаки может служить использование легитимных доступов ваших поставщиков IT-решений, то есть компаний, предоставляющих услуги технической поддержки, сопровождения информационных систем и сервисов.

Часто, даже заметив, что пользователь делает какие-то необычные действия, администратор может списать это на работы по поддержке IT-системы. В качестве примера вернемся к кибератаке Petya. В ходе этой атаки злоумышленники сначала взломали крупного поставщика ПО, а уже затем, пользуясь его легальным каналом, атаковали банки и другие организации. Аналогичный случай произошел в середине декабря – атака осуществлялась через популярную систему SWIFT.

Совет № 3: для минимизации данного риска необходимо четко и в любой момент быть готовым ответить самому себе на три стандартных вопроса:

1.  Кто к нам подключается?

Для ответа на этот вопрос необходимо наладить процесс управления учетными записями сотрудников внешней технической поддержки. В том числе:

— использовать ограниченный срок действия учетных записей;

— ввести ответственность руководителей IT-подразделений за контроль действий данных сотрудников;

— своевременно информировать о необходимости блокировки учетных записей аутсорсеров/подрядчиков в случае их увольнения.

2.  Когда к нам подключаются?

Имеет смысл внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть только при необходимости решения инцидентов или проведения плановых работ.

3.  Как к нам подключаются?

Можно внедрить механизм двухфакторной аутентификации для внешних подключений в корпоративную сеть компании. В этом случае, помимо использования стандартного механизма аутентификации (логин/пароль/сертификат), сотруднику внешней технической поддержки необходимо будет вводить одноразовый пароль, который он получает, например, с помощью СМС-сообщения.

Протестируйте своих сотрудников

Какими бы совершенными ни были системы и процессы обеспечения ИБ, самым уязвимым местом является конечный пользователь – сотрудник компании. Стоит ему лишь однажды допустить ошибку и открыть файл в письме или перейти по вредоносной ссылке, и риск возникновения инцидента ИБ, а в конечном счете взлома информационной системы значительно возрастает. Поэтому проблематика обеспечения информационной безопасности компании должна быть делом каждого сотрудника, а не только специалистов по IT или ИБ.

Совет № 4: необходимо наладить в компании два ключевых механизма. Во-первых, информировать сотрудников об актуальных угрозах и методах работы злоумышленников. Во-вторых, регулярно тестировать уровень осведомленности сотрудников по вопросам обеспечения ИБ. В качестве такого тестирования могут быть использованы следующие методы:

• e-mail-рассылка, имитирующая действия злоумышленников и направленная на запуск файлов во вложении;
• использование методов социальной инженерии для получения данных аутентификации пользователей (логин/пароль) в информационных системах;
• любые другие имитации актуальных угроз ИБ.

Как и в жизни, в современных информационных технологиях самые простые ошибки зачастую являются самыми массовыми и опасными. Прежде чем вкладывать огромные деньги в новые системы информационной безопасности, научите своих IT-специалистов уделять внимание простым и базовым вещам. Ведь если у информационной безопасности нет хорошего фундамента, то нет смысла выстраивать на нем сложные многоуровневые системы защиты.