Все персонажи вымышлены, все совпадения с реальными компаниями абсолютно случайны!

Какие проблемы с безопасностью корпоративной сети чаще всего встречаются? Ответ на этот вопрос не такой простой. Но мы можем поделиться некоторой статистикой, которую мы получили проводя аудиты безопасности сети с помощью Check Point Security CheckUP. Мы уже публиковали целую серию статей о том, что такое Security CheckUP и как его провести. В первом видео уроке даже описывали, зачем вам это может понадобиться. Количество проведенных нами CheckUP-ов уже давно перевалило за сотню. За все это время накопилась статистика по самым распространенным проблемам с безопасностью сети, которые удается обнаружить с помощью Security CheckUP. Описанные ниже угрозы присутствовали практически у всех компаний (у кого-то больше, у кого-то меньше).

1) Сотрудники используют VPN и Proxy


В современных компаниях уже почти не осталось “теточек”, которые могут пользоваться только Internet Explorer-ом и ходить только по сайтам из закладок. Юзеры стали более продвинуты и никого не удивишь словом VPN, Proxy, Анонимайзер и так далее. Как показывают результаты CheckUP-а, почти в каждой компании есть сотрудники, которые используют Tor, Betternet, Freegate и т.д. Используют их для обхода блокировок Роскомнадзора, либо для обхода блокировок в самой компании (зайти поиграть в покер или посмотреть видео для взрослых). Заблокировать такое, не имея на периметре решение класса NGFW, практически невозможно.

Чем опасно использование VPN?


Самое опасное в использовании VPN вовсе не тот факт, что пользователи смогут обойти блокировки. Главная проблема — сквозь периметр сети будет идти шифрованный трафик. Даже если у вас очень хорошее пограничное устройство с функциями Антивируса и IPS, вы просто не сможете ничего проверить. Через шифрованный канал можно “протащить” все что угодно, в том числе и вирусные файлы (пользователь может сам даже не подозревать, что скачивает что-то плохое). Аналогичная проблема с HTTPS-трафиком. Мы описывали ее в одном из уроков “Check Point на максимум”. Если вы НЕ используете SSL-инспекцию на границе сети, то у вас огромная дыра размером в пропускную способность интернет канала.

Пример из отчета




Для многих безопасников оказывается сюрпризом, что в их сети так много человек используют анонимайзеры, да еще и столько трафика через них ходит. Что прошло внутри этих каналов узнать уже не получится.

2) Торренты


Если честно, я был удивлен, когда получил подобную статистику. Практически в каждой компании было замечено скачивание через торрент (либо другие p2p приложения). Причем объемы скачанного трафика просто шкалят. У одно из наших клиентов обнаружилось, что пользователи за неделю скачали 2 ТБ! Казалось бы, уже у всех давно есть домашний и весьма скоростной интернет. Зачем качать торренты на работе?

Чем опасно использование Торрентов?


Главная проблема — колоссальная нагрузка на пропускную способность интернет канала. Часто это негативно сказывается на работе бизнес приложений, таких как ip-телефония, облачные ресурсы компании (CRM, Email) и т.д. Кроме того, при планировании закупки межсетевого экрана на периметр сети, многие подбирают решение на основе имеющейся статистики загрузки канала. Посмотрели, что за последний месяц средняя загрузка в районе 400 Мбит/с, значит и фаервол надо брать помощнее, а значит и подороже. Только вот если заблокировать весь “левый” трафик, то можно существенно сэкономить на покупке NGFW.

Кроме того, практически все файлы, скачиваемые через торрент, качаются частями. А это весьма затрудняет проверку трафика такими системами как Антивирус или IPS.

Пример из отчета




3) Botnet-ы


В 90% случаев удалось обнаруживать зараженные компьютеры, которые являются частью ботнетов. Формально, зараженный компьютер может никак не мешать работе пользователя. Файлы не удаляются, не шифруются, никакая информация не сливается. Однако на компьютере есть “маленькая” утилитка, которая все время “стучится” в командный центр и ждет указаний. Стоит признать, что бывают и ложные срабатывания, когда Check Point определяет легитимный трафик как ботнет. Каждый инцидент требует внимательного разбирательства.

Чем опасны компьютеры-боты?


Зараженные компьютеры могут “жить” в вашей сети годами. Возможно они так и не причинят вам вред, но совершенно невозможно предсказать, что они смогут сделать в “один прекрасный день”. Получат команду докачать вирус шифровальщик и заразят всю сеть.

Пример из отчета




4) Утилиты удаленного доступа


Еще один неприятный инцидент. В подавляющем большинстве компаний обнаруживаются люди, которые используют утилиты удаленного доступа к своим рабочим компьютерам (TeamViewer, RDP, LogMeIn и т.д.). Хотя никто не гарантирует, что этот удаленный доступ используют сами сотрудники. Возможно это бывшие сотрудники или часть вирусной компании.

Чем опасны утилиты удаленного доступа?


Кроме проблемы несанкционированного доступа внутрь сети есть еще одна — передача файлов. Особенно “печально” видеть, когда в рамках этих удаленных сессий прокачивается приличный трафик — гигабайты! Большинство утилит удаленного доступа шифруют свои соединения, поэтому узнать, что скачивается или закачивается — невозможно. Но в целом, это большой канал возможных утечек корпоративной информации.

Пример из отчета




5) Порно и другие “развлечения”


Как бы удивительно это не звучало, но люди реально смотрят на работе видео для взрослых. Причем объемы трафика поражают. В одном из CheckUP-ов мы обнаружили, что за две недели сотрудник компании “насмотрел” порно на 26 Гигабайт.

Чем опасно порно на работе?


Вопрос звучит весьма забавно. Если не брать в счет моральные и этические нормы, то здесь наверно проблема немного в другом — пользователи тратят очень много времени на развлечения. YouTube, социальные сети, мессенджеры. Все это явно не способствует продуктивности (хотя здесь тоже можно поспорить). В целом, с помощью CheckUP-а вы сможете посмотреть, кто и на что тратит рабочее время.

Пример из отчета




6) Вирусы в почте


CheckUP позволяет проверить не только трафик пользователей, но и всю приходящую почту. И это не только проверка на спам, но и проверка вложений (doc, pdf, zip и т.д.) и ссылок в теле письма. Причем настроить проверку довольно просто. На почтовом сервере настраивается пересылка копий всех писем прямо на Check Point, на котором запущен MTA (Mail Transfer Agent). На Exchange это можно сделать с помощью Blind carbon copy (Bcc). Главный плюс такой проверки — мы проверяем письма уже после существующих Анти-спам решений клиента. И какое же удивление этот клиент испытывает, когда обнаруживают, что вредоносные письма по прежнему проходят, причем в довольно большом количестве. Т.е. в большинстве случаев обнаруживается, что текущие средства защиты почтового трафика — не справляются.

Чем опасны вирусы в почте?


Глупый вопрос. По последним отчетам, почта по прежнему лидирует среди способов доставки вирусов пользователям. Причем вредонос может быть как файликом-вложением, так и в виде ссылки на какой-нибудь ресурс (google drive, yandex disk и т.д.). Check Point позволяет реализовывать более глубокий анализ подобных вещей с помощью технологий SandBlast (не будем расписывать что это такое, сейчас не об этом).

Пример из отчета




Как видите, SMTP трафик среди вирусов преобладает. Плюс вирусы это не только exe-файлы, но и обычные .doc или .pdf документы, которые пользователи обычно открывают без опасений.

7) Фишинг


Почти каждый CheckUP обнаруживает переходы пользователей по фишинговым ссылкам. Office 356, paypai, sbenbank, fasebook, appie, … Примеры фишинговый сайтов можно продолжать бесконечно. В целом, направление фишинговых атак переживает небывалый подъем. Оно и понятно, зачем придумывать хитрые вирусы и бороться с защитными техниками, если можно просто обмануть доверчивого пользователя. Человек всегда будет оставаться самым слабым звеном в информационной безопасности компании.

Чем опасен фишинг?


Можно сказать, что фишинг это личная проблема пользователей. Ну украдут у них деньги с карточки, в следующий раз будут умнее. Однако в рамках фишинга могут быть похищены корпоративные данные! Почтовые адреса, пароли, важные документы. Стоит отметить, что пользователи очень часто любят использовать корпоративные пароли для регистрации на публичных сайтах (социальные сети, торрент трекеры и т.д.). Зачем запоминать кучу паролей, когда можно везде использовать один?

Пример из отчета




8) Upload в облако из корпоративной сети


Еще одна большая проблема безопасников — облачные хранилища. Dropbox, GoogleDrive, Яндекс диск и т.д. Пользуются этими сервисами уже все поголовно. Но одно дело знать, что возможно кто-то этим пользуется в корпоративной сети, а другое дело видеть, что через эти каналы уходят гигабайты трафика. В 80% случаев мы находили подобную проблему у проверяемых компаний.

Чем опасен данный upload?


Тут все очевидно. Кто-то может “сливать” корпоративные данные. И если у вас нет DLP-решений, то увидеть что именно “сливается” — невозможно. Однако опасен не только upload на эти облачные ресурсы. Не менее опасен и download! Хакеры давно привыкли использовать публичные файловые хранилища для распространения вирусов.

Пример из отчета




Это всего лишь пример. В России чаще встречаются такие вещи как Yandex.Disk, Cloud.Mail.ru, OneDrive и т.д. На картинке выше отражается лишь кол-во файлов, но можно вывести и статистику по объемам:



Другие проблемы


Мы перечислили только самые популярные проблемы, которые удается обнаружить с помощью Check Point Security CheckUP. Они встречаются практически в каждом аудите. Но проблем гораздо больше и есть гораздо серьезнее:

Атаки с использованием Exploit-ов




Причем атаковать могут не только компьютеры пользователей, но и сервера компании.

DDoS на ресурсы компании




Безусловно есть еще инциденты со скачиванием вирусов (в том числе 0-day), которые текущие средства защиты не ловят. Подобные проблемы также очень часто встречаются. Но они более сложны по своей архитектуре и всегда требуют более детального изучения (в конце концов никто не отменял ложные срабатывания).

Заключение


На этом мы закончим наш небольшой ТОП-8 типичных проблем с безопасностью. Главное помните, что информационная безопасность это не результат, а непрерывный процесс. И в этом плане Check Point Security CheckUP дает весьма хорошую (хоть и не полную!) аналитику по вашей безопасности. А тот факт, что этот аудит можно провести бесплатно, делает CheckUP чуть ли не лучшим решением в своей области.

Дополнительная информация по Security CheckUP.

Комментарии (11)


  1. GeraJet
    19.10.2018 15:00

    Хотелось бы узнать, в чем подвох полностью бесплатного аудита?


    1. cooper051 Автор
      19.10.2018 15:01

      Это как раз тот случай, когда никакого подвоха нет. Более того, вы можете провести его сами, даже не обращаясь к вендору или интеграторам.


    1. cooper051 Автор
      19.10.2018 15:03

      Зачем это Check Point-у? Надеятся, что в ходе этого аудита вам понравится их продукт и вы захотите его купить. Тем более, что все угрозы которые Check Point находит, он же может и блокировать, в случае если он будет стоять «в разрыв» сети.


    1. FlipWho
      19.10.2018 17:27

      В отчете напишут что у тебя по 1000 ботов в каждом компе и тонны гигабайт сливаются, ты побежишь покупать продукт.

      Вот например, пройди по ссылке и сделай экспресс-тест))) www.cpcheckme.com/checkme

      Оказывается что гуглохром последней версии дырявый вхлам…

      image


      1. simplix
        19.10.2018 18:36

        Тоже посмеялся с этого «отчёта», один в один.


        1. cooper051 Автор
          19.10.2018 18:50

          Еще смешнее получается, когда видишь такой же результат при установленном Check Point-е на периметре сети. Тут все тесты абсолютно обычные, без какой либо магии (скачивание файла, перенаправление на другой сайт и так далее). Даже Check Point надо настраивать, чтобы в отчете CheckMe был результат получше.
          Вот здесь можете почитать саму методику тестирования.


      1. cooper051 Автор
        19.10.2018 18:47

        Мне кажется вы не до конца понимаете смысл теста CheckMe. Браузер тут абсолютно не причем. Ваш пример показывает дырявость вашего пограничного устройства (роутер, firewall), который даже eicar в архиве поймать не может.

        По поводу 1000 ботов и других угроз, которые находит CheckUP. Вы же не получаете просто отчет где говорится «у вас боты». У вас абсолютно все логи под руками. Вы можете посмотреть какой именно трафик сгенерировал это событие (когда это было, куда он стучался, по каким портам и так далее).
        По гигабайтам тоже самое. Можно посмотреть сессии каждого отдельного ПК и просуммировать, если не верите итоговому отчету.

        В целом, если действительно есть интерес, просто разверните у себя в сети, если что, я даже помогу. Потом сможем уже предметно пообщаться.


  1. FlipWho
    19.10.2018 17:22

    С «подачей» материала конечно стоит поработать.


    1. cooper051 Автор
      19.10.2018 18:51

      Есть какие-то конкретные рекомендации?


  1. Karroplan
    21.10.2018 20:33

    все описанные проблемы решаются одним — не настраиваем внутри сети дефолтного маршрута. и все — впн не впнят, торрент не соеденяются, порнуха не качается!


    1. cooper051 Автор
      22.10.2018 09:54

      К сожалению прокси не является панацеей. Большая часть этих отчетов была получена как раз из сетей, где выход в Инет имеют только прокси и почтовый сервер.
      Но в целом, безусловно отключение прямого доступа в интернет для пользователей существенно сужает круг возможностей.