«Информзащита» составила рейтинг топ-10 уязвимостей при ASV-сканированиях

Безопасность Стратегия безопасности
мобильная версия
, Текст: Татьяна Короткова

Компания «Информзащита» представила свой новый аналитический отчет по уязвимостям различного класса, выявленным в ходе аудитов ИБ в компаниях разных бизнес-отраслей. Как сообщили CNews в «Информзащите», на этот раз специалисты компании собрали и проанализировали данные по уязвимостям при проведении ASV-сканирований за 2014 г. и первый квартал 2015 г.

На основании исследования был составлен топ-10 популярных уязвимостей (см. таблицу ниже), наиболее часто встречающихся при проведении ASV-сканирований в банках (51% от общего числа компаний, в которых были выявлены уязвимости в ходе аудитов ИБ), процессинговых центрах (20%), торгово-сервисных предприятиях (20%), платежных шлюзах (7%) и телеком-компаниях (2%).

По данным «Информзащиты», наиболее часто встречающиеся уязвимости были обнаружены в устаревших версиях программного обеспечения Apache, Microsoft IIS и Open SSL, а в протоколах IPSec, SSL и Microsoft RDP было выявлено использование слабого шифрования. По словам специалистов компании, частота выявления уязвимостей в данном программном обеспечении обусловлена популярностью их использования. Нередко при первом прохождении ASV-сканирования выявляется доступный извне протокол TELNET.

Уязвимости оценивались по системе Common Vulnerability Scoring System (CVSS v2), предназначенной для их классификации по шкале критичности от 0 до 10, где: 0,0 – 3,9 — низкая степень критичности; 4,0 – 6,9 — средняя степень критичности; 7,0 – 10 — высокая степень критичности.

Топ-10 уязвимостей, наиболее часто встречающихся при проведении ASV-сканирований в компаниях

№ п.п. Название уязвимости Критичность уязвимости по шкале CVSS* Как часто встречается у заказчиков
1. SSL Server Supports Weak Encryption Vulnerability 9,00 32%
2. Internet Information Services Could Allow Elevation of Privilege (CVE-2009-1122) 7,60 32%
3. Microsoft Outlook Web Access Redirection Weaknesses (CVE-2005-0420, CVE-2008-1547) 7,50 29%
4. OpenSSL Multiple Remote Security Vulnerabilities (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470, CVE-2014-0076) 6,80 25%
5. Apache HTTP Server Prior to 2.4.10 Multiple Vulnerabilities (CVE-2014-0231, CVE-2014-3523, CVE-2014-0117, CVE-2014-0118, CVE-2014-0226) 6,80 25%
6. Weak IPsec Encryption Settings 6,40 25%
7. X.509 Certificate MD5 Signature Collision Vulnerability (CVE-2004-2761) 5,00 21%
8. Account Brute Force Possible Through IIS NTLM Authentication Scheme (CVE-2002-0419) 5,00 14%
9. DNS Zone Transfer Enabled on Internet Facing Interface 5,00 14%
10. Windows Remote Desktop Protocol Weak Encryption Method Allowed 4,70 11%

Источник: «Информзащита»

«В целом значительная часть уязвимостей (даже с высоким показателем CVSS) может быть очень быстро и “безболезненно” устранена, поэтому в вопросах управления уязвимостями главную роль играет именно знание об их существовании, — подчеркнули в «Информзащите». — И тут всплывает ошибка №1, которую совершают многие организации».

Ошибка №1: Сканирования проводятся только по истечении срока предыдущего сканирования (1 раз в 90 дней).

Как пояснили в компании, проблема в данном случае заключается в том, что низкая периодичность сканирования не позволяет контролировать появление новых уязвимостей на публично-доступных хостах. В среднем в месяц выявляется около 100 новых уязвимостей, часть из которых вполне может иметь средний и высокий уровни критичности.

«Даже если вы устранили критичные уязвимости во время прохождения очередного сканирования, это не отменяет факта повышенного риска компрометации публично-доступных хостов на протяжении прошедших трех месяцев», — подчеркнул Евгений Сачков, старший аудитор отдела безопасности банковских систем компании «Информзащита».

Для решения данной проблемы в компании предлагают: проводить плановые сканирования чаще, чем это требуется в рамках соответствия требованиям PCI DSS и ASV (например, ежемесячно); проводить внеплановые сканирования инфраструктуры при публикации информации о новых уязвимостях в новостных рассылках (для этого администраторы и сотрудники службы информационной безопасности должны быть подписаны на соответствующие рассылки, чтобы реагировать максимально оперативно).

Ошибка 2: Несвоевременная установка обновлений операционных систем, сервисов и прикладного программного обеспечения.

Уязвимости со статусом «Fail», выявленные незадолго до аттестационного ASV-сканирования (или уже в процессе) требуют оперативного устранения, что может потребовать перезагрузки операционной системы и сетевого устройства.

«Стоимость одной минуты простоя процессинга достаточно велика, что приводит к негативным последствиям в виде потери части прибыли, а также к появлению репутационных рисков в виде негативных отзывов», — указал Никита Перевалов, старший аудитор отдела безопасности банковских систем компании «Информзащита».

В «Информзащите» рекомендуют: проводить сканирования не только боевых систем, но и тестовых — часть уязвимостей можно просто «не переносить» в продакшн; формировать перечень уязвимостей, которые необходимо устранить в первую очередь; тщательно планировать технологические окна путем анализа нагрузки ресурсов в разное время.

«В рамках проведения аудитов PCI DSS мы иногда сталкиваемся с такой проблемой, как некорректно оформленный отчет по результатам проведения ASV-сканирований. Такой отчет является непригодным для подтверждения выполнения требований 11.2.2 PCI DSS», — добавил Никита Перевалов. По его словам, требования к формату отчета указаны в приложениях к документу Approved Scanning Vendors Program Guide Version 2.0 — Appendix A: ASV Scan Report Attestation of Scan Compliance и Appendix B: ASV Scan Report Executive Summary.

В общей части отчета Approved Scanning Vendor Information должны быть указаны реквизиты сотрудника компании, предоставляющей услуги по ASV-сканированию. Проверить, имеет ли компания статус ASV, можно на официальном сайте PCI SSC: Approved Scanning Vendors. В разделе ASV Attestation должен быть указан номер сертификата ASV компании.

«Нередки случаи, когда при проведении повторного сканирования “вчерашний” отчет со статусом Pass на следующий день приобретает статус Fail. Причина кроется в том, что разработчики сканеров пытаются обновлять свои базы уязвимостей в кратчайшие сроки после появления информации о выходе новой уязвимости. Поэтому, если заказчик действительно заинтересован в защищенности своих публично-доступных ресурсов, не следует подходить к реализации процесса управления уязвимостями формально», — заключили в компании «Информзащита».