ТОП-10 уязвимостей и недостатков, выявленных при аудитах ИБ в 2014 году

ТОП-10 уязвимостей и недостатков, выявленных при аудитах ИБ в 2014 году

Эксперты «Информзащиты» представили очередную аналитику по результатам более 40 выполненных проектов 2014 года. Исследование коснулось комплексных и технических аудитов ИБ, по итогам которых специалистами был определен ТОП-10 самых распространенных уязвимостей и недостатков, выявленных в компаниях из разных областей бизнеса: финансы и телеком, транспортные организации и нефтегазовая промышленность.

Результаты проведенных аудитов показали следующее:

Большинство обнаруженных уязвимостей связано с процессом управления доступом. Так, например, часто встречаются отсутствие или некорректная настройка парольных политик различных компонентов ИТ-инфраструктуры, или использование небезопасных протоколов удаленного доступа. Несмотря на повышение из года в год осведомленности сотрудников в области ИБ, проблемы отсутствия парольных политик и паролей по умолчанию остаются актуальными.

Например, до сих пор часто можно встретить использование протокола TELNET для внутреннего администрирования, что в совокупности с некорректными настройками сетевого оборудования, приводящими к уязвимостям класса «ARP Cache Poisoning», создает риски раскрытия аутентификационных данных сетевых администраторов внутренним злоумышленником.

Использование средств защиты информации не всегда является оптимальным и зачастую используется «для галочки». Так, например, в большинстве компаний для средств обнаружения вторжений не настроены своевременное обновление сигнатур угроз и оповещения в случае обнаружения угрозы; для межсетевых экранов некорректно настроены правила фильтрации сетевого трафика.

Традиционно мало внимания уделяется процессу управления изменениями ИТ-инфраструктуры, и нередко проводимые изменения никак не документируются. Для них также не производится оценка рисков информационной безопасности, что делает невозможным принятие информированных решений о целесообразности проведения изменений, а также о необходимых мерах снижения рисков ИБ.  Данный подход зачастую приводит к появлению уязвимостей в информационной инфраструктуре в результате изменений, а также нерациональному расходу ресурсов на приобретение средств защиты.

Замыкает список наиболее часто встречающихся уязвимостей отсутствие корректных настроек политик аудита событий ИБ. Например, отсутствие настройки регистрации событий некоторых компонентов ИТ-инфраструктуры, отсутствие требований к хранению журналов зарегистрированных событий, а также отсутствие централизованного сервера хранения зарегистрированных событий.

Наиболее распространенные уязвимости и недостатки:

  1. Не настроены или некорректно настроены парольные политики.
  2. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET.
  3. Аудит событий не настроен или настроен некорректно.
  4. Межсетевые экраны содержат избыточные правила.
  5. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов.
  6. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости.
    1. Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning».
    2. Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений.
    3. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN.
    4. Некорректно настроены ограничения прав доступа к системным файлам.

Денис Хлапов, архитектор проектов по аудитам:

«Как мы видим, большинство обнаруженных уязвимостей относятся к некорректному управлению доступом и недостаткам безопасности сетевой инфраструктуры. При этом большей частью обнаруженных уязвимостей смогли бы воспользоваться внутренние злоумышленники, тогда как внешний периметр защищен достаточно хорошо. Тем не менее, наиболее распространенные уязвимости являются критичными и могут принести существенный вред бизнесу компаний в случае их эксплуатации злоумышленником. Без сомнения, компаниям нужно больше внимания уделять процессам управления доступом, изменениями и обновлениями. Также необходимо периодически проводить внутренние аудиты ИБ, анализ защищенности периметра и оценку рисков».

Выводы:

Приведенные выше уязвимости могут позволить инсайдеру повысить свои привилегии в инфраструктуре вплоть до административных. Такое положение дел может грозить как компрометацией критичных данных, так и нарушением штатного функционирования бизнес-процессов. Учитывая, что практически в каждом проводимом аудите были обнаружены недостатки настроек регистрации событий информационной безопасности, расследование возможных действий инсайдера будут крайне затруднительны.

В настоящее время видно стремление многих компаний укрепить безопасность внешнего периметра информационной инфраструктуры, при этом далеко не всегда учитываются риски действий инсайдеров. При данном подходе к обеспечению информационной безопасности так же не учитывается понятие «эшелонированности» системы защиты. При компрометации какого-либо внешнего ресурса (например, web-сервера) внешний злоумышленник с гораздо больше вероятностью получит доступ к критичным данным во внутренней сети компании. Проведенные нами аудиты явно демонстрируют пренебрежение компаний внутренней безопасностью ради защиты от атак извне. Такой подход можно понять, но, безусловно, он не является корректным и может привести к существенным потерям при удачных действиях как внешних злоумышленников, так и инсайдеров.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru