Можно ли говорить о стопроцентной защищённости предприятия от кибератак после выстраивания всех возможных эшелонов обороны? В компаниях занимающихся оценкой на проникновение считают, что нет: можно говорить только об относительной защищённости и готовности ИБ-службы динамично противостоять угрозам.
Введение
Диапазон кибератак, которые злоумышленники проводят против предприятий, очень широк. Это объясняется не упущениями в развитии ИБ, а необходимостью использовать широкие коммуникационные возможности для деятельности и развития бизнеса.
Очевидно, что установить непробиваемый заслон против всего на свете не удастся — можно лишь активно противостоять угрозам. Более того, по оценкам вендоров, моментально выявить начавшуюся кибератаку часто оказывается крайне трудно.
Как показывает практика, даже сильная и опытная команда ИБ не всегда обеспечивает полную победу над угрозами. Примером может служить взлом в конце 2020 года одного из ИБ-вендоров — компании FireEye. Она подверглась целенаправленной атаке со стороны APT-группировки. В результате инцидента часть важной технической информации ИБ-вендора, связанной с используемыми им инструментами, была похищена.
Поэтому предприятия оценивают не по признаку абсолютной защищённости, а по способности противостоять действиям хакеров. Результат защиты определяется уровнем квалификации атакующих и обороняющихся, длительностью присутствия хакеров на технологической площадке атакуемой компании. Хакерам требуется время на разведку возможных путей проникновения внутрь периметра и реализации поставленной цели. Время, в течение которого активность взломщиков остаётся незамеченной, может служить ориентиром для оценки достигнутого уровня защищённости.
Positive Technologies
Российская компания Positive Technologies оценивает нынешний уровень защищённости отечественных организаций как низкий. По словам экспертов, 96 % протестированных компаний не защищены от проникновения внешнего злоумышленника. Этот показатель не достиг 100 % только потому, что в одной из организаций была успешно выстроена «демилитаризованная зона», которая играла роль буфера между интернетом и внутренней сетью — это позволило вовремя перехватить атаку извне.
При атаках со стороны внутреннего злоумышленника никто из компаний, в которых Positive Technologies проводила исследования, не смог обеспечить абсолютной защиты. Специалисты утверждают, что все тесты, имитирующие действия злоумышленника, закончились установкой полного контроля над ИТ-инфраструктурой.
По оценкам Positive Technologies, при нынешнем уровне защищённости российских компаний для получения доступа во внутреннюю сеть организации в среднем требуется чуть больше пяти дней. Для получения максимальных привилегий в инфраструктуре требуется ещё столько же.
По итогам проведённого ИБ-вендором исследования 84 % организаций не смогли защитить свои внутренние сети от проникновения даже низкоквалифицированного злоумышленника.
Такой результат — это провал или нет? Далее мы приведём оценки от иностранных вендоров, которые также проводили подобные исследования. Забегая вперёд, можно сказать, что недостаточная защищённость компаний — это общая угроза для всего мира.
Secureworks
По данным американской компании Secureworks, среднее время на запуск программы-вымогателя (ransomware) во внутренней инфраструктуре компании-заказчика составляло в 2022 году четыре с половиной дня. Для сравнения, годом раньше (2021) этот показатель составлял пять дней, т. е. риски растут.
В то же время в опубликованном отчёте Secureworks отмечается, что сроки реагирования ИБ-служб компаний на инциденты значительно сократились в последние годы: раньше они исчислялись неделями или месяцами. Это указывает на то, что уровень защищённости растёт. Раньше ситуация с ИБ была действительно катастрофической.
Одной из наиболее сильных угроз (по оценкам Secureworks) является риск появления в корпоративной среде компьютера с отключённым брандмауэром. По статистике Secureworks за 2022 год, время обнаружения такой машины злоумышленниками после открытия доступа к интернету составляло в среднем около пяти часов. Время на запуск вымогателя (Phobos), охватывающее в том числе предварительную оценку конфигурации компьютера и последующее отключение его стандартных средств защиты, оценивалось как «не более одного часа».
FireEye
По данным американской компании FireEye, 53 % проведённых ею тестов на проникновение в корпоративную среду прошли без их обнаружения со стороны службы безопасности заказчика. Хотя ИБ-службам удалось обнаружить 26 % тестовых атак, «злоумышленники» смогли достичь своей цели — успешно проникнуть внутрь периметра корпоративной сети. Используя имеющиеся средства безопасности, компании смогли остановить лишь 33 % тестовых атак.
Отмечается, что наличие централизованных платформ класса SIEM, SOAR или их аналогов само по себе не является показателем готовности противостоять угрозам. Только 9 % проведённых компанией FireEye тестовых атак привели к своевременному оповещению корпоративной службы ИБ о возникшей угрозе. Как показывают проверки, большинство организаций не имеют достоверного и полного представления о степени серьёзности угроз, с которыми они могут столкнуться в своей повседневной практике.
По оценкам команды Mandiant Security Validation («красной команды» FireEye), компрометация инфраструктур является следствием следующих причин:
- Средства ИБ развёртываются в готовых конфигурациях в формате «по умолчанию».
- ИБ-службы уделяют недостаточно внимания предварительной настройке устанавливаемых ИБ-инструментов при их развёртывании, а также их полноценной перенастройке в процессе эксплуатации с учётом выявления новых угроз.
- Регистрируемые службой ИБ события часто не попадают в SIEM.
- В компаниях не проводят принудительного периодического тестирования для применяемых средств контроля.
- В корпоративной сети проходят незамеченными внезапные изменения в базовой инфраструктуре. Нет также отслеживания постепенно накапливающихся изменений.
Raxis
Большинство компаний, работающих в сегменте имитирования атак (Red Teaming) и тестирования на проникновение (Penetration Testing), часто ограничиваются выкладкой только общих рекомендаций по выстраиванию безопасности. Примером может служить компания Raxis, которая опубликовала перечень 10 основных угроз, которым подвержены корпоративные сетевые инфраструктуры.
- Небезопасные пароли. Кодовые слова должны быть сложными и длинными, их нужно регулярно менять. Поощряется использование надёжного менеджера паролей. Требуется избегать повторного применения паролей, а также обязательно менять пароль по умолчанию перед развёртыванием любого продукта или сервиса.
- Угрозы фишинга. Атаки через различные формы социальной инженерии, такие как фишинг, преследование (tailgating) и непосредственное взаимодействие с сотрудниками компаний, отличаются высокой эффективностью. Для противостояния этим угрозам требуется формировать корпоративную культуру безопасности, регулярно проводить тренинги, применять специальные средства противодействия киберугрозам.
- Устаревшие обновления. Значимые источники кибератак — несвоевременная установка обновлений ПО, а также ошибки при настройке корпоративных систем. Для устранения угроз и ограничения площади атаки следует автоматизировать процесс поиска и установки обновлений, больше внимания уделять своевременному и правильному конфигурированию систем.
- Слабая сегментация сети. Когда во всех подразделениях организации — единая сеть, вредоносность кибератак повышается. Защищать такие простые сети крайне трудно. Поэтому корпоративную сеть необходимо сегментировать. Для этого можно использовать различные основания: территориальное расположение, уровень критической значимости, важность выполняемых задач, функциональную роль того или иного подразделения. Требуется принимать во внимание, какая информация передаётся и насколько она важна для компании.
- Избыточные права доступа. Следует придерживаться принципа выделения наименьшего объёма прав на доступ к данным. Этот объём должен быть минимально достаточным для решения рабочих задач. Если не устанавливать подобных ограничений, у хакеров появится больше возможностей перехватить управление корпоративной сетью.
- Ограниченные возможности по обнаружению атак. Предотвратить все угрозы невозможно, поэтому ИБ-службам следует следить за развитием ситуации и реагировать на изменения в ней. Быстрое обнаружение нарушений помогает оперативно реагировать на инциденты и снижать ущерб.
- Слабая защищённость беспроводных сетей. Радиосвязь позволяет нарушителю получить доступ к сети без физического подключения к ней. Злоумышленник может использовать различные слабые стороны в организации безопасности сети: предварительно раздаваемые WPA-ключи, слабые пароли, плохую сегментацию, WPS, уязвимости в протоколах.
- Ошибки в управлении мобильными устройствами. Поддержка мобильных устройств должна выстраиваться с учётом разумного баланса между правами доступа и необходимостью обеспечить безопасность сети. Следует применять различные меры защиты (например, шифрование), предусмотреть возможность принудительного дистанционного удаления корпоративных данных (скажем, в случае потери корпоративного мобильного устройства) и пр.
- Недостаточная защищённость данных. Если исходить из принципа применения минимально допустимых привилегий, то все данные следует классифицировать по степени их конфиденциальности. Данные должны быть доступны только тем сотрудникам, кому они предназначены. Прозрачность выстроенной системы позволяет отслеживать, кто имеет доступ к данным и пользуется ими, и принимать специальные меры по предотвращению утечек (DLP).
- Слабая защищённость протоколов. Несмотря на значительные усилия, которые вкладываются в разработку безопасных программных продуктов, большинство из них применяют протоколы, которые не обеспечивают столь же надёжной защиты. Telnet, FTP, VNC, RSYNC и другие стандарты обмена данными могут становиться причиной раскрытия передаваемой конфиденциальной информации, в том числе учётных данных. Их безопасность может быть нарушена путём просмотра сетевого трафика.
Выводы
Мы собрали вместе рекомендации по выстраиванию корпоративной системы безопасности, которые дают вендоры занимающиеся тестированием на проникновение. Их исследования и советы отражают реальные проблемы, с которыми они сталкиваются при проведении тестов у заказчиков.
