Трендовые уязвимости: как изменяются киберугрозы для бизнеса
О росте числа хакерских атак на отечественный бизнес и современных принципах защиты от угроз рассказал лидер практики продуктов для управления уязвимостями и мониторинга ИБ Positive Technologies Павел Попов.
— Ваша компания опросила представителей бизнеса, из которых 74% отметили, что в 2022 году изменили подход к обновлениям IT-систем, стали относиться к этому процессу внимательнее. Что сейчас в первую очередь угрожает IT-инфраструктуре российского бизнеса?
— С прошлого года ландшафт киберугроз меняется: по нашим данным, наблюдается все больше целенаправленных атак, их уже 68%. Постоянно растет количество уязвимостей. В среднем в базе NDV появляется информация более чем о 50 новых уязвимостях только за один день. Портрет злоумышленника тоже изменился: хакеры не действуют в одиночку, а объединяют свои усилия, применяя своего рода принцип разделения задач: кто-то пишет «вредоносы» и «эксплойты» для уязвимостей, кто-то продает имеющиеся доступы в инфраструктуру уже взломанных компаний на продажу, кто-то доводит атаку до реализации. Все мы видим выросшее количество атак начиная с февраля 2022 года. Так что не обращать внимания на уязвимости сейчас — недопустимое легкомыслие.
В конце 2022 года коллеги из Национального координационного центра по компьютерным инцидентам представляли топ-4 подобных атак на отечественные компании. Интересно, что самым распространенным вектором атак была признана эксплуатация уязвимостей на «периметре» компаний (речь о технике, имеющей подключение к внешним сетям и интернету. — РБК). Конечно, оборудование по «периметру» компаний обычно «закрывается» различными средствами защиты, но это не панацея, поскольку и в такой инфраструктуре есть уязвимости. К примеру, в 2016 году была найдена уязвимость в огромном количестве маршрутизаторов Cisco: этот «бэкдор» позволял выполнять произвольный код и перезагружать оборудование. Так что если у вас есть уязвимости на «периметре», компания на 100% уязвима. Понимание этого должно присутствовать в отделе информационной безопасности любой компании.
Мы, в свою очередь, видим резкий скачок запросов на программное обеспечение для выстраивания в компании управления уязвимости.
— В IТ-безопасности есть понятие Vulnerability Management — процесс, направленный на снижение ущерба от реализации угроз. Как выстраиваются процессы по этому принципу?
— Для решения проблемы даже при наличии специализированного ПО для анализа защищенности недостаточно просто просканировать сеть или оборудование компании. В IТ и информационной безопасности все строится на процессах, начинающихся с инвентаризации инфраструктуры и категоризации узлов. Так, сначала нужно понять, какие элементы присутствуют в IТ-инфраструктуре. Нередко случается, что IТ-департамент запустил какой-то новый сервис, никому об этом не сказав, и в департаменте информационной безопасности о нем просто не знают. Соответственно, профильные специалисты не будут знать и про возможный «бэкдор» в этом новом сервисе.
Следующим этапом идет приоритизация. Так, нужно отдавать приоритет в поиске угроз оборудованию, стоящему на «периметре». После категоризации и приоритизации обычно приступают к патч-менеджменту, ведь именно патчами — программными заплатками — закрывается большинство угроз. Сроки патч-менеджмента и обновлений ПО также должны быть зафиксированы департаментом информационной безопасности компании.
Наконец, нужно проводить категоризацию не только узлов, но и самих уязвимостей. Есть так называемые трендовые уязвимости, которые здесь и сейчас используют злоумышленники для атак, — на них и стоит обращать внимание в первую очередь. Речь об опасных уязвимостях, которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время.
После прохождения всех этих этапов следует проконтролировать процесс устранения уязвимостей. Стоит также понимать, что нельзя устранить вообще все уязвимости — их миллионы, они появляются каждый день и час. Но все равно надо делать компанию безопаснее, и число устраненных уязвимостей должно расти.
— На что бизнес должен обратить внимание помимо поиска и приоритизации уязвимостей?
— Поиск уязвимостей не панацея. Поэтому нельзя сказать, что после их устранения компания находится в полной безопасности. Есть определенная этика и IT-культура в компании; должны соблюдаться современные стандарты безопасности. Это то, что в сфере информационной безопасности мы называем комплаенсом. И такие решения для автоматизированной проверки соответствия стандартам кибербезопасности тоже есть. Речь, например, о необходимости применять сложные пароли и их регулярной смене, закрытии доступа администратора из Сети интернет по некоторым критичным протоколам и тому подобное. Иначе, закрыв уязвимости самого ПО, мы не закроем конфигурационные уязвимости. Должна присутствовать элементарная информационная гигиена, исключающая, например, случаи с никогда не меняющимися паролями администратора «12345».
— IT-инфраструктура многих компаний, особенно крупных, весьма сложна. Существуют ли виды «коробочных» продуктов, избавляющие бизнес от основных типов уязвимостей?
— У нас есть система MaxPatrol VM, которая включает в себя ключевые задачи по процессу управления уязвимостями, но с ней должен работать специалист. Чтобы всегда знать об актуальном ландшафте киберугроз, мы добавляем в решение информацию о новых трендовых уязвимостях в течение 12 часов. Определять, относится ли та или иная уязвимость к трендовым, нам помогают знания наших экспертов. Эти данные основаны на исследованиях угроз, расследованиях инцидентов в информационной безопасности, а также работе нашего экспертного центра кибербезопасности PT Expert Security Center, который видит попытки эксплуатации различных уязвимостей в реальном времени.
— Вы позиционируете свою разработку как систему для построения управления уязвимостями, результаты которого видны. А что увидит IT-департамент компании или ее служба информационной безопасности после внедрения этого софта?
В отличие от работы классического сканера, который выдает отчет, скажем, на 2 тыс. страниц (вряд ли кто-то будет работать с таким масштабным документом), наше решение включает в себя функции контроля устранения уязвимостей. Так, мы контролируем процесс на основе политик, полученных от IT-департамента компании. В итоге наше решение выдает не просто отчет обо всех уязвимостях, но и подсвечивает среди них трендовые и те, которые почему-то выпали из процесса патч-менеджмента.
Кстати, 29 июня 2023 года мы представим обновленную версию нашей системы MaxPatrol VM и модуль для автоматизированной проверки IT-инфраструктуры компаний на соответствие стандартам кибербезопасности Host Compliance Control.
