Насколько уязвимы IT-системы?

Чем больше у вас IT-активов, тем больше возможностей взлома у злоумышленника. Это называется – площадь (поверхность) атаки. Если у вашей шаурмичной одно окно для продажи, то площадь атаки вклюяет в себя только одно окно, то есть малая площадь атаки. Если у вас целый шаурмичный комплекс с отдельными входами, для обслуживающего персонала, поставщиков, и много окон – то у злоумышленника много вариантов проникнуть внуть – это большая площадь атаки. Чем больше площадь атаки, тем выше шанс у злоумышленника проникнуть внуть. Особенно учитывая, что ломают в самом незащищенном месте. Даже если у вас бронированные двери и окна на сигнализации, кроме одного окна для выброса мусора, то вы не в безопасности. То есть чем больше площадь атаки, тем сложее поддерживать одинаковый уровень безопасности во всех точках входа.

Что такое точка входа в IT-систему?

Точки входа – это то место, через которое может проникнуть злоумышленник с улицы (внешний периметр), внуть помщенеия (внутренний периметр). В IT внешним периметром называют ваши сервисы, доступные любому желующему из интернета: ваш сайт, email-сервер, какие-то облачные сервисы, которыми вы пользуетесь. А во внутреннем периметре сервисы доступны только вашим сотрудникам, например через VPN. Все сервисы во внешнем периметре постоянно находятся под массовыми атаками. Мы фиксируем буквально несклько тысяч попыток сканирования на уязвимости в сутки на любой сервер доступный из интернета, даже если там не ни одного сервиса. Поэтому делать корпоративные сервисы доступными из интернета – очень плохая идея.

Чем больше сервисов доступны из интернета, тем больше площадь атаки. Причем если взлом будет успешен, практически невозможно будет найти кто это сделал. В отличии от внутреннего периметра, где всегда известно с какого ПК шла атака.

Теперь определимся насколько защищены сервисы. Представьте, вы поставили новый замок на дверь вашей шаурмичной, который только появился на рынке и никто его не может взломать. Через полгода умелец находит способ правильно изогнуть скрепку, чтобы вскрыть вашу модель замка и выкладыавет видео на ютуб.

А теперь представьте ситуацию, что есть люди, которые подходят ко всем дверям и просто фотографируют замки, записывают модель замка и выкладывают это в интернет. Бред, скажете вы. Да, но не для интернета. В интернете есть такие сервисы как Shondan, Censys, Security Trail, которые каждый день сканируют весь интернет на наличие сервисов и их версий и выкладывают это все в публичный доступ. Тысячи исследователей, каждый день находят новые уязвимости в популярном ПО и тоже выкладывают это в публичный доступ. И как несложно догадаться, когда публикуется очередная уязвимость, злоумышленник ищет в том же Shodan все уязвимые сервисы в интернете и компрометирует их. Это и есть массовая атака. Мы все умрем!!! Нет, все не так плохо. Хорошие хакеры (white hat) нашедшие уязвимость прежде чем публиковать ее рассказывают о ней разработчику уязвимого ПО. Дают время на выпуск обновления и только потом обнародуют. Админы, видя обновления ПО, тут же его обновляют. И все! Проблем нет! ПО обновляется до того, как злые хакеры (black hat) начнут всех заражать...

К сожалению, нет :'( На практике все немного сложнее. Если у вас 50 рабочих ПК с 20 ПО на каждом, то надо ставить 1000 обновлений. Хорошо, если у админа обновления ставятся автоматически. А если нет, то обычно админ просто не ставит обновления. Добавим к этому, что не каждое обновление проходит беспроблемно, по нашей статистике 1% (т.е. 10) обновлений требуют особого внимания, переустановки ПО и танцев с бубном, на что может уйти пару человеко-дней трудозатрат.

Стоит добавить, что ломаное ПО, то есть пиратское, обычно не обновляется, и так и остается уязвимым, например MS Office. "Ну и пусть, - скажете вы, - чего плохого может сделать MS Office уязвимый"? Отвечу: через офис проходит большинство всех атак, достаточно по email получить письмо (фишинговое) и открыть зараженный docx-файл ваш ПК тут же становится инфицированным, т.е. все данные вашего ПК становятся доступными хакеру, в худшем случае он даже камеру с микрофоном сможет включить, а потом вас шантажировать.

Это не все. У нас есть еще серверы, например интернет-магазин, с ними немного другая история. Если при неудачном обновлении ПО на рабочем ПК страдает непосредственно пользователь этого ПК и админ устраняющий проблемы, то при проблемах на сервере страдают ВСЕ пользователи этого сервиса. И админам становится откровенно страшно обновлять сервера и они остаются небновленными на неопределенный срок, а с течением времени уязимыми. В идеальном мире, у админа есть план обновления и время на это.

Подитожим тут немножечко. Своевременные обновления – самый эффективный способ устранения уязвимостей. Чем меньше установленно ПО, тем меньше ресурсов уходит на обновления. Чем меньше пиратского ПО, тем больше вы в безопасности. Без автоматизации невозможно устанавливать обновления своевременно. Допустим у вас все ПО лицензионное, и все обновляется в автоматически, а у админа есть время на устранение проблем обновлений. Рай! Но нет :'(Не всегда уязвимости находят добрые хакеры, частенько их находят и злые. Злые не уведомляют разработчиков об уязвимости, а думают как лучше с ней поступить, толи массово всех взломать, толи продать на черном рынке, на котором такие уязвимости (0-day) могут стоит до $500 000 (пруф).

Согласитесь, впечатляющая сумма, и даже некоторые добрые хакеры могут перестать быть добрыми. Получается, что даже свежий софт может быть уязвим – да! Черт возьми, Кирилл... Не, не, все не так плохо. Вы должны быть очень заманчивой целью, чтобы против вас использовался 0-day, либо уязвимыми должны быть огромное количество ПК помимо вашего, чтобы хакер смог отбить расходы на приобретение 0-day. К счастью, такие атаки редкие, но бывают. Плохая новсть в том, что сложность защиты от таких угроз несоизмеримо выше, чем просто обновиться во время. В этом помогает мониторинг с индикаторами компрометации (призаки поведения хакеров во время или после взлома), системы поведенческого анализа (EDR) и мой совет, который я давал выше – уберите максимум сервисов внуть периметра!!!