Оцените свою внешнюю поверхность атаки

Оцените свою внешнюю поверхность атаки

Множество взломов за последние месяцы было через открытые наружу сервисы. Давайте посмотрим статистику, какие же сервисы у компаний открыты. А вдруг они открыты и у вас? )
По отчету компании Positive Technologies статистика открытых служб (включая нестандартные порты) выглядит так

data-original-height=574

Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить — это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций
были выявлены открытый сетевой порт для подключения по протоколу Telnet
и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники
подбирают за считаные минуты, а получив доступ к сетевому оборудованию
с правами соответствующей учетной записи — могут развить вектор нападения

Также компания Positive Technologies оценила и наличие уязвимых сервисов среди всех найденных служб.
data-original-height=840

Остановка поддержки продукта означает окончание его безопасного функционирования — все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.

По мнению Palo Alto Networtks самый частый открытый сервис — это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт — вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.

Следующая по частоте — открытые в паблик интерфейсы систем управления сетевых устройств.
Если спрятать эти системы управления за VPN — то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
И следующие по частоте открытые сервисы — аналитические системы и доступы к данным. Этих доступов вообще не должно быть в паблике. И тут даже не может быть каких-то оправданий к ИТ службе.
Ну и самое эпическое — это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно.
В общем делаем вывод, что ИТ службе нужно проверять не только ИТ, но и устройства Operation Technologies (OT).
data-original-height=849

Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye

data-original-height=1046

Не забываем про старый добрый Shodan, который показывает открытые сервисы.

Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.

И естественно вы можете это делать сами сканером безопасности.

Основной вывод, который можно сделать на протяжении чтения подобных отчетов — организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.

И последнее, самое важное. Поверхность атаки — это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие — обязательно.


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков
Автор: Денис Батранков
Советник по безопасности корпоративных сетей.
Комментарии: