Кибербезопасность-2017: типичные ошибки и советы по защите
Раздел: ИТ-аудит
Владимир Шатшнайдер, руководитель направления ИТ, Управление по внутреннему аудиту Группы «Илим», член Института внутренних аудиторов
Максим Козлов, начальник отдела ИТ аудитов, Блок внутреннего контроля и аудита ПАО «МТС», член Института внутренних аудиторов, CISA, член международной ассоциации ISACA
Завершается 2017 год, чем он запомнился в части ИТ? Помимо всего прочего, безусловно, ростом преступности в сфере ИТ. От атак, направленных на отдельные компании, хакеры перешли к атакам на целые отрасли. И первой в списке их целей всегда была, и скорее всего останется в будущем, сфера финансовая – банки, финансовые биржи и другие финансовые институты.
Кибер-атаки явление не новое, но в последние годы профессионализм атакующих заметно вырос. Вместе с ним растёт и актуальность кибербезопасности. В рамках данной статьи договоримся понимать под термином «кибербезопасность» защиту информационных систем компании от внешних угроз. Сегодня мы поговорим о том, какими типичными недостатками в части информационной безопасности чаще всего пользуются злоумышленники.
Обновления ПО.
Одним из самых широко освещаемых событий в этом году были вирусы WannaCry и Petya. Они использовали схожие уязвимости, и мы рассмотрим пример WannaCry.
WannaCry был одной из самых массовых атак 2017 года: по оценке Европола ей подверглись около 200 тысяч компьютеров в 150 странах. Для того, чтобы одновременно атаковать столько целей не нужна армия программистов, а нужна хотя бы одна уязвимость, которой будут подвержены множество пользователей и компаний. И чтобы атака смогла стать массовой, уязвимость, которой она пользуется, должна быть в каком-нибудь массово-используемом продукте. Например, операционной системе (ОС). В случае с WannaCry злоумышленники использовали уязвимость в ОС Microsoft Windows, а конкретно – в протоколе удалённого доступа под названием SMBv1. Данный протокол использовался в очень большом спектре ОС – от Windows XP до Windows 10. WannaCry блокировал ОС пользователя и вымогал у него деньги в биткоинах.
Здесь мы подходим к сути проблемы. Еще 14 марта 2017 года, т.е. за 3 месяца до массовой атаки, Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. Однако установили его далеко не все.
Обновления ПО выходят постоянно: на ОС, на прикладное ПО, на оборудование и проч. Можно сказать, что они валятся как из рога изобилия. Зачастую, пользователи устанавливают их не сразу. И не только из-за лени или забывчивости, а в том числе для того, чтобы было время проверить – не сломает ли обновление что-то критически важное в компании. Ведь если ИТ-специалист бездумно будет ставить все обновления подряд, это может привести к серьёзным последствиям для любой компании, зависимой от ИТ-систем. Так что же делать?
Если вы аудитор, владелец или просто ключевой пользователь ИТ-системы, поинтересуйтесь у ответственных за неё ИТ-специалистов, как часто ставятся все требуемые обновления для вашей системы. Есть ли среди не установленных обновлений, те, которые относятся к информационной безопасности.
Совет №1: потратьте час времени и совместно с ИТ-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем так, чтобы не пострадали ваши бизнес-процессы, а ваша система максимально оперативно получала все обновления информационной безопасности. В компании должен быть процесс установки обновлений ПО и операционных систем с указанием владельца процесса, ответственных за установку обновлений и ответственных за контроль установки обновлений, а также указание четких временных рамок установки обновлений в зависимости от степени критичности информационных систем и сервисов.
Внешние порты.
WannaCry и Petya, безусловно, наделали много шума, как в компаниях, так и в СМИ. Но часто самыми опасными являются не те атаки, которые сразу заметил весь мир, а те, которые остаются незамеченными. Одним из видов хакерской атаки является получение доступа (естественно, никем не санкционированного) к ИТ-системам компании. Что может делать с этим доступом злоумышленник? В сущности, всё, что угодно. В случае с банками – получить полный доступ к счетам, персональным данными и другой информации клиентов, которая хранится в базах данных компании.
Есть множество подходов к тому, как злоумышленники получают данный доступ. Мы сегодня остановимся на подходе, который для злоумышленника имеет широкий охват и часто не требует большого количества усилий. Это мониторинг специфических сетевых портов и в случае, если они открыты, попытки с их помощью получить доступ к информационным системам.
Как ведут себя злоумышленники? Есть множество сервисов, которые позволяют проверить открыты ли порты, используемые для управления системами / сервисами (например, SSH (порт 22), TELNET (порт 23), RDP (порт 3389)). Пример подобного сервиса – https://www.shodan.io – это что-то вроде Google, только о сетевых портах, типах используемого оборудования, наименования и версии используемого ПО.
Помимо этого, в свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости. Стоит отметить, что порог начального вхождения в данную область крайне низкий и не требует проведения специальной подготовки, что позволяет потенциальному злоумышленнику приступить к возможному осуществлению своих злонамеренных действий сразу же после установки специализированного ПО. Примером таких инструментов являются популярные среди специалистов по практической информационной безопасности дистрибутивы операционных систем с предустановленным и настроенным программным обеспечением (например, Kali Linux, BlackArch Linux, ParrotSec), а также отдельные инструменты хакерских группировок, которые стали доступны широкой общественности. Например, набор специализированного ПО созданного группировкой Equation Group, которое включает в себя различные инструменты для получения доступа к сетевому оборудованию, операционным системам и сервисам.
Зачем злоумышленнику знать, какие порты у вас открыты? Если, например, открыт порт SSH, можно «натравить» на него программу подбора пароля. Данная программа будет бесконечно подбирать пароль к какой-нибудь учётной записи, например, «admin». И как только пароль будет подобран – путь открыт, и дальнейшие выгода для взломщика и, соответственно, ущерб для жертвы, будут зависеть от профессионализма и желаний первого.
Помимо учётных записей администраторов, лакомой целью для злоумышленника может являться получение доступа к технологическим учётным записям, которые часто имеют широкие полномочия, но контроль за ними значительно ниже.
Из этого следует Совет №2: попросите ИТ-специалистов, и убедитесь сами, что выполнены следующие 5 базовых условий:
1) Недоступны из интернета порты, используемые для удаленного управления системами и сервисами (например, 22, 23, 3389 порты). Если же, по какой-то причине доступ необходим, переопределите порт доступа со стандартного на любой другой, например, переконфигурируйте службу SSH со стандартного порта 22 на порт 2220 и/или перейдите на использование ключей доступа вместо паролей. В этом случае количество автоматических переборов паролей резко уменьшится;
2) Сетевое оборудование, обеспечивающее доступ из/в интернет сконфигурировано корректно. То есть сотрудники ИТ и информационной безопасности четко понимают, для каких целей, по какой заявке и кем было создано правило пропуска трафика из/в корпоративную сеть компании;
3) В информационной системе нет неизвестных\уволенных пользователей, особенно с административными правами;
4) Изменены и регулярно обновляются пароли на учётных записях администраторов согласно парольной политике компании, а в идеале используются выделенные учетные записи для задач администрирования (например, ivanov_adm, petrov_adm);
5) Заблокировано использование технологических учётных записей пользователями (например, пользователь не может войти в систему с использованием технологической учетной записи).
Подрядчики.
Почти в каждой компании уже есть хорошо организованные и удобные «ворота» в информационные системы. Они используются для тех систем, которые поддерживаются не внутри самой компании, а внешними подрядчиками. Довольно удобным вариантом для атаки может служить использование легитимных доступов ваших поставщиков ИТ-решений, то есть компаний, предоставляющих услуги технической поддержки, сопровождения информационных систем и сервисов.
Часто, даже заметив, что пользователь делает какие-то необычные действия, администратор может списать это на работы по поддержке ИТ-системы. В качестве примера вернёмся к кибер-атаке Petya. В ходе этой атаки, злоумышленники сначала взломали крупного поставщика ПО. А уже затем, пользуясь его легальным каналом, атаковали банки и другие организации. Аналогичный случай произошёл также в середине декабря, в этом случае атака осуществлялась через популярную систему SWIFT.
Совет №3: для минимизации данного риска необходимо четко и в любой момент времени быть готовым ответить себе на 3 стандартных вопроса:
1. Кто к нам подключается?
Для того, чтобы ответить на этот вопрос, необходимо наладить процесс управления учетными записями сотрудников внешней технической поддержки. В том числе:
a. использовать ограниченный срок действия учетных записей
b. ввести ответственность руководителей ИТ-подразделений за контроль действий данных сотрудников
c. осуществлять своевременное информирования о необходимости блокировки учетных записей аутсорсеров/подрядчиков в случае их увольнения.
2. Когда к нам подключаются?
По данному вопросу имеет смысл внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть компании только в случае необходимости решения инцидентов или проведения плановых работ;
3. Как к нам подключаются?
Здесь можно внедрить механизм двухфакторной аутентификации для внешних подключений в корпоративную сеть компании. В этом случае, помимо использования стандартного механизма аутентификации (логин/пароль/сертификат), сотруднику внешней технической поддержки необходимо будет вводить одноразовый пароль, который он получает, например, с помощью смс-сообщения.
Осведомленность сотрудников вопросами ИБ.
Какими бы совершенными ни были системы и процессы обеспечения ИБ, самым уязвимым местом любой системы является конечный пользователь – сотрудник компании. Стоит ему лишь однажды допустить ошибку и открыть файл в письме или перейти по вредоносной ссылке, и риск возникновения инцидента ИБ, а в конечном счёте, и взлома информационной системы, значительно возрастает. Поэтому проблематика обеспечения ИБ компании должна быть делом каждого сотрудника, а не только специалистов по ИТ или ИБ.
Совет №4. Необходимо наладить в компании два ключевых механизма: информирование сотрудников об актуальных угрозах и методах работы злоумышленников; регулярное тестирование уровня осведомленности сотрудников компании по вопросам обеспечения ИБ. В качестве такого тестирования может быть использованы следующие методы:
· e-mail-рассылка, имитирующая действия злоумышленников, и направленная на запуск файлов во вложении
· использование методов социальной инженерии для получения данных аутентификации пользователей (логин/пароль) в информационных системах.
· любые другие имитации актуальных угроз ИБ.
Вывод
Как и в жизни, в ИТ сегодня часто самые простые ошибки являются самыми массовыми и опасными. Прежде чем вкладывать огромные деньги в новые системы информационной безопасности, обратите внимание своих ИТ-специалистов на то, чтобы они уделили внимание простым и базовым вещам. Ведь, если у информационной безопасности нет хорошего фундамента, то нет смысла выстаивать на нём сложные многоуровневые системы защиты.
Статья опубликована на портале Банкир.ру