21 Декабря 2023 11:23 21 Дек 2023 11:23 |

Поделиться

Максим Ежов, Angara Security: Первый шаг к защите информации — понимание своей ИТ-инфраструктуры

CNews: Как чаще всего происходят инциденты, связанные с утечками информации, и какую долю в общей картине кибератак они составили в 2023 году?

Максим Ежов: Большинство таких инцидентов допускаются в результате взломов объектов находящихся на внешнем периметре организации, то есть объектов доступных из сети интернет. Эту часть корпоративной инфраструктуры, где сконцентрированы клиентские сервисы, веб-ресурсы и сетевое оборудование, атакуют наиболее часто. Количество уязвимостей в периметровых объектах от общего объема утечек на сегодняшний день составляет почти 25%.

Многие организации применяют сканеры безопасности для поиска уязвимостей, а далее привлекают своих ИБ-специалистов для анализа и оценки рисков. Однако, сложность для компаний состоит в том, что в течение года обновляется до 80% ИТ-инфраструктуры.

При исследовании внешнего периметра организаций самые часто выявляемые слабые места — это поддержка протокола TLS версии 1.0/1.1, использование нестойких алгоритмов шифрования в SSL, и истечение срока действия сертификата SSL. Из-за них канал подключения к удаленному ресурсу, например к веб-сайту, оказывается не защищен. В других случаях современные браузеры оповещают пользователей о небезопасности ресурса, из-за чего бизнес теряет клиентов.

При этом постоянно добавляются новые объекты потенциальных атак, что происходит ввиду подключения внешних сервисов, расширения функционала приложений, внедрения Enterprise, opensource-решений. Каждый этап обновления инфраструктуры несет риск появления новых уязвимостей или неверно настроенных систем, которые могут нарушить работу критичных аспектов деятельности или бизнес-процессы компании.

Кроме того, существует второй серьезный фактор, составляющий более 23% от общей доли утечек — это скомпрометированная учетная запись. Она появляется, когда у работников установлены слабые пароли и отсутствует двухфакторная аутентификация. При этом пользователи оставляют корпоративную электронную почту при регистрации на внешних сайтах, например площадках вебинаров или при регистрации на мероприятиях.

Злоумышленник, взломав такой веб-сайт, получает актуальные почтовые адреса. При слабой защите входа пользователя на web клиент почтового сервера, злоумышленник может получить доступ ко всей почтовой переписке, которая может содержать персональным данные.

CNews: Как забытый тестовый веб-сервер может открыть двери хакеру во внутрь?

Максим Ежов: Обычно такие серверы используют продакт-менеджеры или команды разработки для тестирования какого-либо сценария на веб-сайте, будь то дизайн интерфейса, или функционал нового личного кабинета пользователя в рамках CustDev, при этом забывая про необходимость обеспечения безопасности. ИТ-департамент и разработчики спешат быстро протестировать новый функционал, зачастую с не полностью обезличенными персональными данными, минуя согласование с ИБ-департаментом, и в спешке забывают его отключить.

Для выстраивания полноценного процесса выявления уязвимостей и управления ими, компании все чаще переходят на непрерывный мониторинг защищенности внешнего периметра.

CNews: В чем отличие такого постоянного контроля от привычного размещения сканера в облаке?

Максим Ежов: Непрерывный мониторинг внешнего периметра позволяет организовать системный процесс выявления и управления уязвимостями. Например, подобное решение от компании Angara Security в рамках инвентаризационного сканирования проверяет заданный перечень IP-адресов с определением открытых портов (TCP/UDP), определяет доступные сервисы на открытых портах и хостах, а также их версии. Сервис предоставляет сравнительный анализ выявленных сетевых узлов, портов, изменений относительно результатов предыдущего сканирования.

Полученные данные доступны для просмотра в режиме реального времени в личном кабинете сервиса. ИБ-специалист заказчика видит в формате интерактивных дашбордов актуальный статус внешнего периметра, новые обнаруженные и устраненные уязвимости, а также уровень их критичности.

Для обнаружения слабых мест используются сетевые сканеры, инструменты для инвентаризации, анализ веб-ресурсов. Все выявленные уязвимости с оценкой критичности «средний» и выше верифицируются нашими экспертами, которые готовят рекомендации по устранению недостатков. Специалист ИБ Заказчика может сразу использовать данные для принятия решений при управлении рисками на внешнем контуре. По наличию в проверенном отчете критичных уязвимостей он определяет приоритетность их устранения и далее контролирует их устранение ИТ-подразделением.

По результатам серии пилотных и продовых проектов штатные ИБ-специалисты отметили такие достижения как: сокращение времени на формирование пула задач для ИТ-подразделения по исправлению критичных уязвимостей, а также внедрение мониторинга устранения рисков IT-активов внешнего периметра в режиме «одного окна».

Потребность рынка в такой услуге увеличилась, в том числе и в связи с уходом западных вендоров, ранее ее предоставлявших и обновлявших ПО на защите внешнего периметра, а также веб-сервисы и оборудование.

CNews: Какие существуют подходы к минимизации таких рисков утечки информации?

Максим Ежов: Важно понимать, что если компания не знает о каком-то объекте — угрозе для своей инфраструктуры (например, тот же тестовый веб-сервер, который забыли отключить), то никакие превентивные меры не помогут. Таким образом, первый шаг — это понимание своей ИТ-инфраструктуры и сканирование внешнего периметра на постоянной основе.

Разница между хорошо всем знакомым Vulnerability Scanner и более новым подходом External Attack Surface Management (EASM) в том, что первый больше нацелен на выявление и устранение уязвимостей во внутренней структуре организации, а второй — на предоставление ей актуального видения угроз, исходящих из сети Интернет.

Для покрытия максимального количества уязвимостей необходимо использовать несколько сканеров и, получая из них информацию, проверить эти данные в части тех уязвимостей, которые отмечены как критичные. Сканер — это технический инструмент, и он может ошибаться. В рамках услуги непрерывного мониторинга ИБ-специалист заказчика получает готовый отчет с уже подготовленными рекомендациями по устранению уязвимостей для ИТ-подразделения.

CNews: В чем барьеры для компаний в организации внешнего сканирования?

Максим Ежов: Если мы говорим о тех, кто уже осознал потребность в таком инструменте, то я бы назвал два фактора, замедляющих его внедрение. В первую очередь, организации опасаются, что такое сканирование приведет к снижению производительности инфраструктуры: например, сбоям в работе интернет-магазина в пиковые сезонные нагрузки и снижению прибыли.

Однако, такие опасения преувеличены, потому что сканирования проводятся в согласованное время, часто в ночное, когда отсутствует наплыв пользователей на внешние ресурсы компаний. К тому же, ИБ-экспертами всегда производится мониторинг инфраструктуры на предмет появления сбоев.

Так, если мы видим снижение производительности, то сокращаем интенсивность внешнего сканирования. Мы предлагаем заказчикам гибкие условия по сканированию, в удобное для них время, и покрываем максимальную площадь по поиску уязвимостей с помощью большого количества технических средств. К этому добавляется опыт и компетенции профессиональных пентестеров, что обеспечивает высокий уровень качества рекомендаций. С первых же сканирований заказчик уже получают отчеты по рискам, исходящих из сети Интернет по отношению к его ИТ-системам, которые помогают штатным ИБ-специалистам. Это, конечно, существенно, облегчает им жизни в защите данных.

И еще одна сложность при организации собственного сканирования — отсутствие в компании выделенного ИБ-специалиста с фокусом на уязвимости, который сможет правильно интерпретировать информацию из отчета-рекомендации для ИТ-подразделения с целью устранения ИБ-рисков. Мы до сих пор встречаем такие компании — обычно это организации с штатом до 150 человек.

CNews: На ваш взгляд, какие будут преобладать тенденции в ближайшее время в области таких средств защиты?

Максим Ежов: Рынок услуг непрерывного мониторинга будет активно развиваться, сервисы будут наполняться дополнительными элементами и услугами. Мы уже видим появляющиеся запросы организаций на поиск информации о себе из открытых источников (OSINT), хранение в личном кабинете информации по проведенным пентестам. Компании ищут возможность в едином интерфейсе получать данные как из внутренних сканеров, так и из систем непрерывного мониторинга от внешних экспертов. Такие сервисы будут становиться более «умными» для того, чтобы заказчик получил возможность ранжировать по уровню критичности рисков у себя те или иные активы.

Поделиться

Подписаться на новости Короткая ссылка