Топ-5 проблем сетевой безопасности в 2022 году и варианты борьбы с ними

Дата: 09.08.2022. Автор: iTPROTECT. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Топ-5 проблем сетевой безопасности в 2022 году и варианты борьбы с ними

После февральских событий, вслед за которыми последовали отключения иностранных ИБ-продуктов от обновлений и поддержки, а также взрывной рост кибератак, приоритет кибербезопасности в бизнес-повестке сильно возрос. Степень вовлеченности в эту «драму» для корпораций зависит от того, какой информацией, ресурсами и средствами защиты они обладают. Одной из первых преград на пути злоумышленника являются средства защита сетевого периметра. Поэтому в этой статье рассмотрим именно сетевую безопасность, проблемы в этом направлении и варианты борьбы с ними на примере кейсов. 

Но для начала немного о том, что чаще всего является целью кибермошенников. Вне зависимости от отрасли им интересны ресурсы, которые можно легко монетизировать и на добычу которых уйдет меньше всего времени и других ресурсов (например, аренда серверов, услуги дропперов и курьеров). Именно поэтому жертвами злоумышленников становятся компании с самыми незащищенными активами. 

Основной и самый востребованный ресурс — это деньги, они есть в любой компании, украсть их можно добравшись до компьютера бухгалтера или специалиста, осуществляющего платежи и банковские переводы. В ритейле до денег можно добраться через атаку на POS-терминалы. Большинство российских банков серьезно относятся к защищенности активов и постепенно перестают быть интересными для злоумышленников с целью кражи денег. Но полностью интерес пока не угас.

Второй по популярности ресурс — это информация, которую можно монетизировать. Условно монетизацию можно разбить на несколько типов: это продажа персональных данных клиентов, учетных записей для входа в корпоративные сети и ключей для расшифровки зашифрованных злоумышленником корпоративных данных.

Проблема №1. Сотрудники недостаточно киберграмотны

51% российских компаний практикуют удаленную работу по данным SuperJob. А значит, почти у всех из них существуют технологии удаленного доступа сотрудников к ресурсам компаний. Но не все технологии удаленного доступа достаточны для защиты информационных активов.

Для наглядности приведу кейс кражи клиентской базы данных в одной крупной строительной компании. Менеджер на корпоративном ноутбуке с установленным VPN-клиентом работал из дома. После ввода доменного логина и пароля, он попадал в корпоративную сеть и имел доступ к CRM системе компании. Злоумышленники направили ему фишинговое письмо со ссылкой на страницу, эмулирующую запрос логина и пароля с корпоративной символикой. Менеджер ввел данные и его запрос перебросили на почтовый веб-сервер компании, он ничего не заподозрил и, естественно, не изменил пароль. Мошенники, воспользовавшись учетными данными менеджера, вошли по VPN в корпоративную сеть и скопировали базу с информацией о клиентах, работниках, партнерах и их финансовых транзакциях. Скопированная база была продана конкуренту и позволила ему сделать более выгодные предложения части клиентов, которые находились на этапе бронирования недвижимости.

Кстати, подобный кейс очень распространён. Большинство пользователей переходят по фишинговым ссылкам. Например, в рамках одного из пентестов мы проводили фишинговую рассылку и по итогам 2/3 пользователей открыли письмо, а более половины — перешли по ссылке, из них еще половина ввела свои учетные данные. Некоторые даже больше 10 раз.

Чтобы предотвратить подобные инциденты можно перевести доступ пользователей к VPN-шлюзу с доменных логинов и паролей на двухфакторную аутентификацию, где первым фактором будет сертификат корпоративного устройства, а вторым фактором — одноразовый временный пароль. Так утечка доменного логина и пароля не приведет к проникновению мошенников в корпоративную сеть через VPN-шлюз. 

Но если в организации используется иностранный VPN-инструмент, и он перестал обновляться и поддерживаться вендором, то этого недостаточно. Тут нужно либо провести безопасную настройку (в большинстве случаев отключение части функций), либо – перевести на российские аналоги, пока злоумышленники не успели воспользоваться возникшими уязвимостями.

Проблема №2. Неготовность сетевой инфраструктуры к мощным DDoS-атакам

В наши дни у многих компаний основной бизнес-процесс связан с сервисами, которые должны быть постоянно доступны клиентам, это могут быть веб-сайты, личные кабинеты, облачные хранилища и т.п. Неработающий сервис каждую минуту будет генерировать прямые убытки или как минимум упущенную прибыль. Тем временем по данным Лаборатории Касперского в 1-м квартале 2022 году число DDoS-атак на российские организации выросло в 8 раз, а по данным Центробанка, на банки еще больше – в целых 20 раз. При этом многие оказались не готовы к такому наплыву. Мощность некоторых атак достигает десятков гигабит/сек, а самая долгая DDoS-атака длилась целых 145 часов.

Приведу пример кейса с прерыванием работы web-сайта и почтового сервера одного сетевого ритейлера мощной DDoS атакой. Вебсайт и веб-нода почтового сервера были установлены на физических серверах в сетевом периметре компании. На веб-сайт была организована мощная DDoS атака и сайт компании был не доступен для пользователей около 24 часов. Тем временем на страничку входа в Outlook Web App (OWA) была организована атака по перебору паролей пользователей по заранее добытой адресной книги компании. В результате, исходя из парольной политики компании по блокировке учетных записей после 5 неправильных попыток ввода логина или пароля, была заблокирована большая часть учетных записей работников компании. Блокировка сайта принесла компании упущенную прибыль в размере суточного объема продаж, а блокировка учетных записей работников — убытки в размере дневного бюджета их заработной платы.

Чтобы предотвратить подобные инциденты можно использовать специализированные аппаратные средства для защиты от DDoS и brute force (перебор пароля) атак, например решения класса WAF). В случае отсутствия необходимых специалистов по обслуживанию такого класса решений, необходимо использовать облачные решения. Также можно рассмотреть возможность расширения пропускной способности сети или смены оператора связи, на того, у которого есть услуги по защите от DDoS атак.

Проблема №3. Недооценка сетевых угроз и рисков организации

Далеко не во всех компаниях применяется риск-ориентированный подход к управлению кибербезопасностью. Тем не менее это крайне важно. Например, для одного из заказчиков мы проводили пилот с целью проверки – сможет ли злоумышленник из интернета добраться до подсети с компьютером генерального директора. Именно эта угроза была самой критичной по его оценкам. Для оценки мы использовали инструмент контроля реализации политик безопасности для сетевых устройств. Мы провели сканирование сети, загрузили в модель все маршрутизаторы, которые отделяют подсети друг от друга и смоделировали возможные сетевые атаки. Сразу скажу, добраться до подсети гендиректора не удалось, но удалось дойти до подсети с системой бухгалтерского учета, где можно, по сути, подменить реквизиты у любого еще неоплаченного счета. Что, в общем-то, не менее критично, чем добраться до учетной записи первого лица.

Также был кейс, где заказчик в целом понимал, что организация подвержена большому количеству угроз, но насколько они критичные – оценить было сложно. Расскажу в деталях. Речь идет про предприятие из сферы ЖКХ и коммунального обслуживания, где есть категория пользователей, которые обрабатывают сотни сообщений в день, соответственно, времени и возможности распознать угрозу, и у них просто физически нет. Поэтому через таких работников можно развивать многовекторную атаку, распределяя вредоносный софт как во времени, так и по рабочим местам. Такие распределённые целенаправленные атаки могут быть пропущены стандартными инструментами антивирусной проверки, так как через них не проходят полные и знакомые им сигнатуры вредоносного ПО.

Мы провели пилот системы защиты от направленных атак (AntiAPT) на агентах пользователей и выявили более 20 точек распространения вредоносного трафика внутри сети. По итогам внедрили инструмент обнаружения вторжений, контролирующий все основные потоки данных, используемые в целевых атаках, и глобально перенастроили систему антивирусной защиты — подключили облачную базу репутации, доработали политики безопасности, интегрировали агент AntiAPT с антивирусом для того, чтобы повысить эффективность работы существующих средств защиты. Теперь, в случае попадания угроз внутрь периметра через электронную почту, проверка проводится еще до попадания зараженного письма на почтовый сервер. 

Вызов №4. Недостаточный контроль трафика 

Наличие межсетевых экранов для фильтрации всего трафика компании или хотя бы web-proxy для фильтрации веб-трафика, который поступает в организацию, можно назвать базовым пунктом в защите сети. Однако большинство иностранных продуктов сейчас недоступны – ни для продления, ни для обновления баз сигнатур и аналитики. Из-за этого возникают явные угрозы для функционирования компании. 

Могу привести наш собственный кейс. В рамках периодических тренировок пентест-навыков на собственной инфраструктуре мы выявили уязвимость ProxyLogon (CVE-2021-26855) на почтовом сервере, которая была успешно проэксплуатирована готовым пакетом. Эта уязвимость позволяет атакующему обойти механизм аутентификации на Exchange сервере, выдать себя за любого пользователя и удаленно выполнить произвольный код, а значит, сделать что угодно с нашим почтовым сервером. Так как наши лицензии threat prevention на модуль IPS в прошлом иностранном NGFW закончились, и мы не могли их продлить, то нам пришлось срочно переходить на российское решение, чтобы обнаруживать и блокировать атаки, а также иметь регулярно пополняемую базу сигнатур и в целом аналитику угроз. К счастью, для пилотной критичной площадки наши инженеры справились за 1 день.

Проблема №5. И базовый уровень безопасности сети можно обойти

Любой пентестер знает способы обхода периметровых средств защиты. Например, можно купить учетные записи, заразить компьютер работника или физически получить доступ к сетевой розетке. В случае преодоления периметра сети злоумышленник может закрепиться на внутреннем ресурсе и развивать атаку, находясь в периметре компании. Если компания имеет зрелую ИТ-инфраструктуру и выстроила защиту сетевого периметра, то следующим шагом может идти развитие систем контроля внутреннего сетевого трафика. Для выявления вредоносной активности между доверенными ресурсами используются средства класса Network Traffik Analyser (NTA).

Приведу пример инцидента. В одном крупном ритейлере электроники с сотней магазинов в сети, был настроен платежный шлюз, который перенаправлял финансовые транзакции с касс в банк, на 1С:Предприятие. Мошенник, скомпрометировав учетные данные действующего сотрудника техподдержки, зашел в корпоративную сеть по VPN, далее используя уязвимости на тестовых серверах, на которые не распространялись политики патч-менеджмента, получил привилегированные права доступа и исследовал корпоративную сеть. В процессе исследования он обнаружил платежный шлюз и изучил структуру запроса к нему от касс. Дальше — просто сгенерировал запрос от имени кассы на пополнение своей банковской карты и был таков. С позиции банка – все действия были легитимны в рамках договора, поэтому вернуть средства не удалось.

Для того, чтобы избежать подобных инцидентов, необходимо не только иметь базовые средства защиты сетевого периметра, но и средства анализа сетевого трафика — NTA. Они помогут выявить активность нарушителя на этапе эксплуатации уязвимостей на тестовых серверах и при дальнейшем исследовании корпоративной сети, и предотвратить продвижение атаки.

В нашем проекте для инжиниринговой компании путем внедрения инструмента для анализа сетевого трафика удалось повысить точность обнаружения ИБ-угроз и ускорить реагирование на ИБ-события. Для этого мы развернули систему в сети заказчика, определили наиболее актуальные угрозы и точки мониторинга сетевого трафика, сформировали матрицу доступа (путем обучающего запуска) и правила реагирования на угрозы. Для получения данных о пользователях, их привязке к устройствам и сессиям, настроили провели интеграцию системы с серверами Active Directory. Теперь ИБ-служба заказчика имеет на руках детализацию сведений об объёмах, структуре и направлении трафика пользователей для оперативного выявления в нем маркеров компрометации данных. Также есть возможность автоблокировки пользователей в случае ИБ-инцидентов.

Вместо вывода

В примерах выше мне хотелось показать, что от уровня проработки сетевой архитектуры зависит общая успешность мер защиты. Ведь примерно 90% взаимодействий злоумышленников в рамках атаки происходит через сеть. При этом большинство кейсов взлома становятся возможными для реализации из-за ошибок подхода к выбору, внедрению и настройке средств защиты от различных сетевых угроз. 

Сейчас это становится особенно актуально. Ведь большинство международных производителей средств защиты от сетевых угроз отказались от продажи и поддержки своих продуктов для российских организаций, а найти в штат специалистов, имеющих необходимый опыт, знания и компетенции для перевода сетевой инфраструктуры с зарубежных аналогов на российские продукты довольно непросто. Тем не менее, задача по обеспечению аналогичного уровня сетевой безопасности на основе российских решений, является одной из актуальных на данный момент. На выходе важно сделать процесс взлома для злоумышленника настолько трудоемким, чтобы ему было невыгодно тратить столько ресурсов. 

Автор:
Андрей Мишуков
Директор по развитию бизнеса компании iTPROTECT

Об авторе iTPROTECT

iTPROTECT® – группа компаний, специализирующаяся на внедрении решений и предоставлении сервисов в области информационной безопасности. С момента основания в 2008 году компании группы iTPROTECT успешно реализовали более 400 проектов для крупных государственных и коммерческих заказчиков. Компания обладает необходимыми лицензиями регуляторов (ФСТЭК и ФСБ), сертифицирована по ISO 9001–2015, ГОСТ Р ИСО 9001–2015, 27001:2015 и имеет наивысшие партнерские статусы ведущих российских и международных вендоров по информационной безопасности.
Читать все записи автора iTPROTECT

Добавить комментарий

Ваш адрес email не будет опубликован.