Оцените свою внешнюю поверхность атаки

Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить — это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций
были выявлены открытый сетевой порт для подключения по протоколу Telnet
и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники
подбирают за считаные минуты, а получив доступ к сетевому оборудованию
с правами соответствующей учетной записи — могут развить вектор нападения
Остановка поддержки продукта означает окончание его безопасного функционирования — все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.
По мнению Palo Alto Networtks самый частый открытый сервис — это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт — вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Если спрятать эти системы управления за VPN — то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
Ну и самое эпическое — это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно.
Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye
Не забываем про старый добрый Shodan, который показывает открытые сервисы.
Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.
И естественно вы можете это делать сами сканером безопасности.
Основной вывод, который можно сделать на протяжении чтения подобных отчетов — организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.
И последнее, самое важное. Поверхность атаки — это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие — обязательно.
Источник — персональный блог Батранкова Дениса «Реальная безопасность».



