Если вызывали пояснительную бригаду по уязвимостям, она приехала — залетайте под кат. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и уязвимости, и чтобы в итоге недопустимое становилось невозможным. В этой статье расскажу о том, какие бывают уязвимости, как их используют киберпреступники и каких брешей нужно бояться больше всего.
Лирическое отступление в сторону хакеров, эксплойтов и Гарри Поттера
Видели ли вы когда-нибудь настоящего хакера? Большинство моих знакомых — нет. Они обычно отвечают так: «Ну, мы смотрели фильмы, там показывали хакеров, они что-то печатают и ломают цель за секунду».
На самом деле, мы все в каком-то смысле хакеры, когда пользуемся несовершенством систем или слабостями других людей, чтобы достичь своих целей. Например, проносим (случайно ?) воду в аэропорт, когда понимаем, что ее не попросили выложить. Или когда, играя в игру, используем «накрутку» внутренней валюты или опыта. Или когда, проводя
друзей в общежитие, давали вахтерше шоколадку, чтобы она вас пропустила.
Помните фильм о Гарри Поттере? Если ты маг и у тебя есть волшебная палочка, то достаточно одного взмаха и простого заклинания «Алохомора», чтобы открыть любую дверь.
Хакеры действуют примерно так же. Вместо палочки они пользуются хакерскими инструментами, а заклинания им заменяют эксплойты, позволяющие эксплуатировать уязвимости в программном обеспечении и получать дополнительные возможности, например выполнять произвольные команды или повышать привилегии в захваченной системе.
При этом, как и волшебники, хакеры делятся на плохих (черные шляпы, действуют со злыми намерениями, нарушают закон) и хороших (белые шляпы, помогают компаниям обнаруживать недостатки в защите и устранять их). А также, есть те, кто посередине (серые шляпы, обычно действуют без злого умысла, но совершают незаконные действия, которые могут и навредить).
Про самый популярный способ атаки на компании
По нашим данным, одним из основных способов атак на компании является эксплуатация уязвимостей в ПО. Это подтверждается ежегодными отчетами НКЦКИ: в 2022 году эксплуатация уязвимостей была самым популярным способом атаки, а в 2023-м — вторым по популярности. Поэтому про эти самые уязвимости и хочется поговорить.
Чтобы достичь своей цели, хакерам необходимо добраться до конечной системы, в которой будет как раз то, что им нужно. Скажем, конфиденциальные данные, возможность украсть деньги или нарушить работу компании. Чтобы этого достичь, обычно нужно пройти через множество промежуточных шагов или систем, в которых каким-то образом получить нужные права, чтобы выполнить какие-то команды или распространяться дальше по сети. Легче всего это сделать, если использовать такие уязвимости, которые дают максимальные привилегии и почти всегда срабатывают.
Обычно наиболее опасными уязвимостями являются те, которые приводят к получению несанкционированного доступа к системе (отпирающие чары вроде «алохоморы», только помощнее и разработанные специально под конкретные системы) или к повышению привилегий внутри системы (как оборотное зелье, способное превратить тебя в другого человека или животное). Есть даже всякие подходы, которые позволяют скрыть присутствие хакера, что-то вроде мантии-невидимки.
Каждый год специалисты фиксируют все больше новых уязвимостей, которыми могут воспользоваться хакеры в своих атаках. По данным National Vulnerability Database, в 2020 году было опубликовано более 18 тысяч уязвимостей, в 2021-м — свыше 20 тысяч, а в 2023-м — больше 28 тысяч. И суммарное количество зарегистрированных уязвимостей на данный момент превышает 200 тыс. Таким образом, каждый день в среднем обнаруживается более 70 новых брешей. Только представьте, каждый день появляется порядка 70 новых способов, как вас взломать, а в год — более 20 тысяч! И это не говоря о тех уязвимостях, о которых компании не знают или не сообщают.
Некоторые уязвимости эксплуатируются преступниками чаще, чем другие. Особенно это касается недавно опубликованных опасных брешей, для которых большинство организаций еще не успели установить обновления безопасности.
Результаты пилотных проектов MaxPatrol VM показали, что в 100% исследованных компаний на периметре или в инфраструктуре есть трендовые уязвимости, которые активно используются злоумышленниками и для которых вендоры уже выпустили рекомендации и патчи.
Трендовыми мы называем уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться злоумышленниками в ближайшее время. Такие уязвимости нужно устранять как можно быстрее, в идеале в течение 24 часов с момента появления информации о их существовании. Потому что для таких уязвимостей эксплойт появляется примерно в течение суток с момента публикации данных о них.
Например, Log4Shell, одна из самых известных брешей, затронула миллионы устройств по всему миру и получила десять балов из десяти по шкале оценки уязвимостей CVSS. Из-за этой уязвимости приложения на основе языка программирования Java, в которых использовалась библиотека Log4j, сохраняли в логах определенную строку. Затем приложение обрабатывало эту строку, в результате загружая и запуская вредоносный скрипт, который позволял полностью захватить контроль над приложением. Об уязвимости в своих решениях сообщили облачные сервисы, такие как Steam, Apple iCloud, а также крупные компании: Cisco, CloudFlare, FedEx, GitHub, IBM и другие. Для этой уязвимости существует более 60 эксплойтов.
Среди других трендовых уязвимостей с публичными эксплойтами или большой вероятностью их появления, на которые необходимо оперативно проверить свою инфраструктуру, — уязвимости Microsoft Windows Server (CVE-2024-21412), Microsoft Outlook (CVE-2024-21413), Jenkins (CVE-2024-23897), Confluence Server (CVE-2023-22527).
Если корпоративные системы богаты на трендовые или особо опасные уязвимости, то для киберпреступников такая компания выглядит как дуршлаг. Хакеры как вода — легко просочатся внутрь инфраструктуры и смогут делать что угодно: украсть важные данные, деньги, нарушить работу систем или полностью остановить деятельность компании на какое-то время. Чтобы не допустить этого, в первую очередь нужно обрабатывать и закрывать трендовые уязвимости, особенно на периметре, не дожидаясь плановых сроков обновления.
Чтобы обнаруживать и устранять эти уязвимости, мы в Positive Technologies создаем продукты, например MaxPatrol VM, которые позволяют организовать процесс по обнаружению уязвимостей, контролю их устранения и соблюдению сроков устранения. Cистема нового поколения позволяет своевременно получать данные о трендовых уязвимостях (информация о них поступает в продукт в течение 12 часов). MaxPatrol VM помогает выстраивать процесс управления уязвимостями и контролировать сроки устранения в зависимости от важности активов и опасности самих уязвимостей.
За управление уязвимостями в компаниях, как правило, отвечает отдел информационной безопасности. Да-да, те самые ребята, которые говорят, что вставлять свою флешку в рабочий компьютер — плохо. Этот отдел сотрудничает с ИТ-департаментом, сотрудники которого уже непосредственно устраняют уязвимости.
Рассмотрим сам процесс управления уязвимостями.
Первый шаг — регулярное сканирование инфраструктуры для выявления недостатков безопасности и актуализации данных об активах (информационных системах, узлах, оборудовании). Это позволяет узнать, какие есть IT-системы в компании, для каких задач и где они используются, что на них установлено (вплоть до версий ПО), а также каким уязвимостям они подвержены. Рекомендую уделять максимальное внимание периметру: веб-сайтам, VPN-сервисам и тому, что «торчит наружу» и легко обнаруживается простым сканированием. Именно через эти системы хакеры могут начать свою атаку.
Следующим шагом необходимо выделить важные для компании системы и постоянно обновлять информацию о них. Это могут быть программы «1С», содержащие ценные данные, инструменты, которыми пользуются юристы, бухгалтеры или кадровики. Если вы разрабатываете ПО, то исходный код, который хранится внутри компании, без сомнения, также будет представлять ценность для злоумышленников. Эти системы будут являться целевыми для злоумышленников. Взлом таких активов может позволить киберпреступникам нанести неприемлемый ущерб бизнесу. Все компьютеры сотрудников, с которых они подключаются или с которых есть доступ к целевой системе, могут считаться ключевыми системами, а значит, требуют усиленной настройки безопасности и мониторинга. Чтобы добраться до финальной точки, хакерам нужно будет сперва взломать ключевые системы.
Далее идет поиск уязвимостей на имеющихся активах. Для обнаружения уязвимостей чаще всего используется информация об установленном ПО, полученная в результате сканирования активов. Также применяются пентесты, когда точечно проверяется наличие конкретной уязвимости на активе.
Когда уязвимости выявлены, их нужно приоритизировать. Для этого используется оценка опасности самой уязвимости (чаще всего для этого используют метрику CVSS), а также значимость актива, на котором она обнаружена.
Следующим этапом идет устранение уязвимостей, на котором производится выбор вариантов реагирования на конкретную уязвимость. Обычно это установка патчей или обновление ПО, применение компенсационных мер (когда уязвимость становится неэксплуатабельной), вывод ПО из эксплуатации.
Следующий важный шаг — соблюдение SLA. Недостаточно просто поставить задачу на устранение набора уязвимостей. Если нет контроля, эта задача может быть выполнена некорректно. Яркий пример: мы говорили с клиентом, использующим сканер уязвимостей для анализа инфраструктуры, и спросили: вот вы проанализировали инфраструктуру — что дальше? Он ответил: «Мы получаем отчет о наличии уязвимостей на тех или иных узлах и передаем его в ИТ-департамент, чтобы они провели патч-менеджмент или обновление ПО». И на этом все. Ни дифференциального отчета, ни сравнения с результатами следующего сканирования — никакого контроля. По сути, ИТ-департамент мог вообще не обращать внимания на такие отчеты. В таком случае отчеты будут приходить из департамента ИБ снова и снова, а ребята из ИТ будут следовать своему внутреннему процессу, не обращая на них внимания.
Что еще нужно делать, помимо выстраивания процесса управления уязвимостями:
использовать файрволы и средства мониторинга для обнаружения атак;
отслеживать подозрительные события в инфраструктуре и оперативно на них реагировать;
применять анализаторы исходного кода для обнаружения уязвимостей нулевого дня;
в процессах разработки использовать промежуточный репозиторий, куда попадают только проверенные пакеты, библиотеки, компоненты;
любые другие действия, которые повышают безопасность вашей компании.
Помните, что организация — это живой организм, поэтому следует в режиме реального времени отслеживать появление новых систем и уязвимостей в них, улучшать процессы и подходы внутри компании, расширять список инструментов, которые помогают защититься от атак.
Используйте такие инструменты, которые позволяют вам своевременно обнаруживать и устранять уязвимости, строить процесс вместе с ИТ и ИБ, и самое главное — получать реальную защищенность. Используйте системы управления уязвимостями, например MaxPatrol VM, который мы создаем в соответствии с теми задачами, что я описал выше, и вкладывайтесь в реальную защиту компаний, а не просто в красивую оболочку. В конечном итоге процесс должен быть построен так, чтобы вас нельзя было взломать.
13 июня в 14:00 мы представим новую версию продукта MaxPatrol VM, которая позволяет включить работу с уязвимостями веб-приложений в процесс vulnerability management и писать собственные требования безопасности в модуле комплаенс-контроля HCC.
Михаил Козлов
Руководитель продуктов по анализу инфраструктуры и детектированию уязвимостей, Positive Technologies
Комментарии (6)
Shaman_RSHU
11.06.2024 14:26+2По нашим данным, одним из основных способов атак на компании является эксплуатация уязвимостей в ПО. Это подтверждается ежегодными отчетами НКЦКИ
Разве фишинг не самый основной способ атак на компании, а эксплуатация уязвимостей ПО - это уже следующий этап? А НКЦКИ рассматривает вообще фишинг, как способ атак или они занимаются только техническими вещами? Вроде бы в моделях угроз ФСТЭК и их приближенных такое есть.
ErshoFF
Интересная позиция ИБ - "вот вам отчет, устраняйте уязвимости".
Анализа текущей инфраструктуры и того, что произойдет когда патчи-менеджемент будет проведен от ИБ не будет - это из личного опыта.
Компенсирующих мер, которыми можно прикрытся на период тестирования патчей - от ИБ не дождешься.
И превращается ИБ в передатчик автоматически срабатывающих метрик типа "была в мире атака группы 'суперпуперхакеры', поэтому вам надо проанализировать всё-всё и прислать отчет что меры приняты", без анализа применимости к текущей инфраструктуре и ландшафту.
По итогу (из личного опыта) ИБ не интересует какой ИТ ландшафт в организации - надо нагнать побольше жути и подписать на рассылку уязвимостей.
Shaman_RSHU
Вы описали отсутствие процессов ИБ в организации. ИБ должна обозначивать
риски, связанные с уязвимостями, а бизнес принимать их или нет. Не ИБ
не ИТ не должны принимать такие решения. Защищаются не компьютеры, а
информация и процессы её обрабатывающие. Всё это давно отражено в
различных ИБ фреймворках, но видимо топ-менеджменту просто "для галки"
нужна ИБ, либо руководитель ИБ "посаженный"
ErshoFF
Здесь под ИБ я имел в виду всяких внешних (по отношению к организации) консультантов и регуляторов типа ФСТЭК разного уровня.
Внешние консультанты запугивают "кейсами" без описания мер, которыми можно нивелировать уязвимости до выхода заплаток. Хотя нет, в качестве мер предлагают подписки на продукты, стоимость которых ставит под угрозу сущуствование организации.
ФСТЭК и др.регуляторы - превратились в ретрансляторы баз уязвимостей без указания как эти уязвимости закрывать, но обязательно написать обратное письмо "исполнено, выполнено, закрыто" и т.п.
И получается - много-много организаций начинают изборетать велосипеды как бы отписать что всё закрыли. И много много сотрудников огромного количества организаций занимаются изборетением одних и тех же велосипедов по бюджетному выполнению указаний регуляторов.
Shaman_RSHU
К сожалению за последние два года цены на отечественные средства защиты выросли почти в пять раз. Скорее всего это обосновано тем, что Регуляторы РФ всё больше расширяют поверхность воздействия нормативных актов по ИБ - всё больше компаний попадают под требования защиты КИИ, ПДн и т.д. Всё меньше компаний могут позволить себе использовать зарубежные средства защиты, уроень зрелости которых намного выше, чем только развивающиеся отечественные средства. Отечественные же производители средств защиты выбрали наиболее легкий путь - уходят в облака, предоставляют услуги, как сервис. А хостовые отечественные средства защиты как были на уровне развития 10 летней давности, так и не развиваются (не буду называть вендоров, да взять хотя бы любое СрЗИ от НСД).
germanetz
Не работает эта схема деления на ИТ и ИБ департаменты, отделы и тп. В большинстве случаев руководство компании равноудалено от этих понятий. А каждый ит или иб департамент/отдел тянет одеяло на себя.