- Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
- Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
- Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.
Реальная безопасность
персональный блог Батранкова Дениса
четверг, 26 мая 2022 г.
Advanced Persistent Threat - это про искусство нападения и защиты
воскресенье, 22 мая 2022 г.
Часто используемые хакерами уязвимости 2021 года
На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.
В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.
Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.
CVE | В каком ПО обнаружена | Название уязвимости | Тип уязвимости | Базовая оценка CVSS |
---|---|---|---|---|
CVE-2021-27101 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27103 | Accellion FTA | Подделка запроса на стороне сервера | 9,8 | |
CVE-2021-27104 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27102 | Accellion FTA | Remote code execution (RCE) | 7,8 | |
CVE-2021-26855 | Сервер Microsoft Exchange | ProxyLogon | Подделка запроса на стороне сервера | 9,8 |
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 | Сервер Microsoft Exchange | ProxyLogon | Remote code execution (RCE) | 7,8 |
CVE-2021-44228 | Библиотека Apache Log4j2 | Remote code execution (RCE) | 10,0 | |
CVE-2021-28799 | QNAP NAS | Remote code execution (RCE) | 9,8 | |
CVE-2021-34527 | Диспетчер печати Windows | PrintNightmare | Remote code execution (RCE) | 8,8 |
CVE-2021-34473 | Сервер Microsoft Exchange | ProxyShell | Remote code execution (RCE) | 9,8 |
CVE-2021-34523 | Сервер Microsoft Exchange | ProxyShell | Повышение привилегий | 9,8 |
CVE-2021-31207 | Сервер Microsoft Exchange | ProxyShell | Обход аутентификации | 7,2 |
CVE-2021-40444 | Модуль MSHTML в Internet Explorer | Remote code execution (RCE) | 7,8 | |
CVE-2021-21972 | VMware | (обнаружена экспертом Positive Technologies Михаилом Ключниковым) | Remote code execution (RCE) | 9,8 |
Для сравнения мировые организации Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях
CVE | В каком ПО обнаружена | Vulnerability Name | Type |
Apache Log4j | Log4Shell | Remote code execution (RCE) | |
Zoho ManageEngine AD SelfService Plus | RCE | ||
Microsoft Exchange Server | ProxyShell | Elevation of privilege | |
Microsoft Exchange Server | ProxyShell | RCE | |
Microsoft Exchange Server | ProxyShell | Security feature bypass | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Atlassian Confluence Server and Data Center | Arbitrary code execution | ||
VMware vSphere Client | RCE | ||
Microsoft Netlogon Remote Protocol (MS-NRPC) | ZeroLogon | Elevation of privilege | |
Microsoft Exchange Server | RCE | ||
Pulse Secure Pulse Connect Secure | Arbitrary file reading | ||
Fortinet FortiOS and FortiProxy | Path traversal |
CVE | Vendor and Product | Type |
Sitecore XP | RCE | |
ForgeRock OpenAM server | RCE | |
Accellion FTA | OS command execution | |
Accellion FTA | Server-side request forgery | |
Accellion FTA | OS command execution | |
Accellion FTA | SQL injection | |
VMware vCenter Server | RCE | |
SonicWall Secure Mobile Access (SMA) | RCE | |
Microsoft MSHTML | RCE | |
Microsoft Windows Print Spooler | RCE | |
Sudo | Privilege escalation | |
Checkbox Survey | Remote arbitrary code execution | |
Pulse Secure Pulse Connect Secure | Remote arbitrary code execution | |
SonicWall SSLVPN SMA100 | Improper SQL command neutralization, allowing for credential access | |
Windows Print Spooler | RCE | |
QNAP QTS and QuTS hero | Remote arbitrary code execution | |
Citrix Application Delivery Controller (ADC) and Gateway | Arbitrary code execution | |
Code execution | ||
Cisco IOS Software and IOS XE Software | Remote arbitrary code execution | |
Microsoft Office | RCE | |
Microsoft Office | RCE |
Также рекомендую посмотреть отчет какие решения используют компании.
Оцените свою внешнюю поверхность атаки
Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения
Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.
По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно.
Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye
Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.
И естественно вы можете это делать сами сканером безопасности.
Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.
И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.
суббота, 16 апреля 2022 г.
Состояние рынка VPN шлюзов в России на апрель 2022 года
Александр Веселов из Солар подсветил, что проблема еще усугубилась тем, что проблемно перейти на русские устройства VPN из-за их подорожания в 2 раза. А у большинства заказчиков бюджеты были заложены заранее. Андрей Шпаков из S-Terra объяснил, что подорожало железо, и это связано с нарушением цепочек поставок и отсутствием новых аппаратных платформ на рынке в принципе и приходится еще и возить через третьи страны аппаратные платформы. Множество платформ сегодня делается на основе тайваньского оборудования компании Lanner и его сейчас трудно привезти.
Павел Луцик указал на то, что вдобавок к тому, что перестали работать VPN шлюзы, у работающих шлюзов были отозваны TLS сертификаты и это вызвало трудности с перевыпуском и быстрым переподключением у многих заказчиков. Сейчас по идее нужно переходить на сертификаты подписанные русским центрами сертификации, но для этого русские центры сертификации должны быть прописаны в браузеры. А это еще одна трудность и кому-то нужно договориться с производителями браузеров и с компанией Microsoft, чтобы добавить еще и в Windows корневой центр сертификации.
Павел Великов из Cross Technologies поделился, что часть производителей смогли быстро предоставить виртуальные версии VPN и заказчики смогли решить задачу удаленного подключения к офису достаточно быстро. Он видит, что часть заказчиков еще пытается держаться за иностранных поставщиков, а часть уже переходит на русские решения.
Андрей Шпаков и Павел Луцик рассказали, что все заказчики привыкли уже к VPN шлюзам в составе устройств UTM/NGFW и им приходится ставить вместо одного устройства сразу несколько решений. Также заказчики привыкли к второму фактору на базе смс в мобильные устройства а таких сертифицированных решений не существует. Сейчас приходится использовать VPN отдельно и UTM отдельно, что неудобно, поскольку часто нужно знать имя пользователя не только при аутентификации на VPN шлюзе, но и при написании правил межсетевого экранирования.
Еще одной трудностью по мнению Павла Великова является требование законодательства передавать ключи шифрования из рук в руки и это по сути вызов реальности, где люди находятся все по домам и им трудно так передавать ключи технически. В итоге из-за того, что российские производители делали устройство под требования российского законодательства, то они были ограничены и не могли в принципе реализовать некоторые необходимые фичи, такие как удобную двухфакторную аутентификацию, удобное распределение ключей, удобный API для интеграции с другими устройствами, что уже сделано иностранными производителями, которые не ориентировались на русские стандартны сертификации. При этом Павел Луцик из КриптоПро поделился тем, что их решения хорошо интегрируются с решениями класса MDM и NAC.
Павел Коростелев считает, что TLS шлюзы, которые публикуют приложения через браузер приносят много достаточно функционала ZTNA, поскольку контролируют что делать пользователь.
Павел Коростелев считает, что сертифицировать клиент VPN по требованиям ФСТЭК и ФСБ одновременно практически нереально. И в итоге общий вывод, что сделать UTM c VPN сложно потому, что сложно сертифицировать одновременно VPN+МСЭ+СОВ. И в итоге производители вынуждены делать две ветки продуктов - для сертификации, чтобы соответствовать требованиям регуляторов и для заказчиков, которым удобство важнее, чем сертификат.
Получается, что и добавить такой функционал как compliance или допустим digital experience monitoring (DEM) тоже в сертифицированные клиенты невозможно. И это удел только несертифицированных решений.
Павел Луцик подсказал, что пока что для защиты неконфиденциальной информации можно пользоваться иностранной криптографией. Также в КИИ нет требований по использованию сертифицированной криптографии, кроме тех кто подключается к ГосСОПКА.
По схеме применения производители выделили две схемы применения для удаленного доступа: с программным клиентом и с подключением через браузер к VPN шлюзу. Павел Коростелев при этом считает, что есть три подхода, где самый правильный вариант подключения - выдать ноутбук корпоративный с VPN, второй вариант - экстремальный - поставить прямо на домашний компьютер пользователя, и еще гибридный вариант, когда выдается USB флешка с загружаемой операционкой. Клиентские приложения сегодня есть у российских производителей под Linux, MacOS, iOS, Android и Windows.
Когда мы перешли к вопросу интеграции вендора с вендором, то выяснилось, что у всех разные протоколы и стандартный IPSEC даже если и реализован, то возникают вопросы с передачей ключей шифрования. Инфотекс, например, создал свой протокол IPlir, который считает удобным для использования.
На мой взгляд самое простое - референс, то есть пойти к компании, которая уже использует оборудование VPN и посмотреть какие устройства у него стоят и какую производительность они обеспечивают.
Все сказали, что самое трудное - это сроки сертификации. Я сам тратил на сертификацию производства TippingPoint и Proventia на каждый по 3 года и такой срок конечно уменьшает пользу - ведь пользоваться устройством трехлетней давности, лишь потому что оно сертифицированное заказчик чаще всего не хочет, да и не может, потому что за это время даже оборудование уже устаревает. И на мой взгляд это стоит обсуждать на ТК26.
И еще одна трудность была отмечена коллегами: системы управления. Удобство - это то, над чем сейчас нужно работать, чтобы заказчики были довольны.
По результатам конференции я выяснил, что в будущем производители ждут
- подорожания аппаратных платформ;
- множества запросов на виртуальные решения;
- ужесточения законодательства по использованию русского оборудования и софта;
- прихода подделок на основе opensource;
- интеграции криптошлюзов и NGFW;
- появление SD-WAN как новой фичи шлюзов.
вторник, 5 апреля 2022 г.
Что такое DFIR и как обнаруживать хакера в сети по поведению
Positive Technologies Network Attack Discovery выполняет полную запись трафика в сети. Эта запись может быть использована для доказательства хакерской деятельности и для разбора атаки (Network Forensic). Технические эксперты Positive Technologies занимаются расследованием и минимизацией влияния инцидентов (DFIR) и созданием на основе этой экспертизы своих продуктов. Правила в продукте Network Attack Discovery, позволяют выявлять атаки. При использовании этого продукта ни один хакер не может уйти от возмездия, неважно кто это: собственный сотрудник, подключившийся удаленно хакер или перемещающийся автоматически сетевой червь. Продукты класса NTA и NDR полноценно показали себя в защите корпоративных сетей. Обсуждение как работает продукт и живая демонстрация пройдет в онлайне 5 апреля в 14:00. Регистрация
среда, 22 декабря 2021 г.
Открылся музей криптографии в Москве
Совершенно уникальный музей открылся в Москве. У меня получилось его посетить 21 декабря 2021 года. Адрес сайта https://cryptography-museum.ru/ Адрес фактический Ботаническая ул. 25, с. 4. На такси лучше ввести адрес Академика Комарова 1Г

Множество стендов объясняющих азы криптографии подойдет школьникам. Я помню как в 6 классе мы увлекались шифром простой замены и писали друг другу записки на основе готовых таблиц замены и, думаю, что школьникам зайдет информация об их разновидностях.
Непонятное для меня рабочее место. Без экскурсовода не разобрался.
На входе задаемся простыми вопросами и затем ищем ответ!
Множество оборудования было рассекречено и показано на публике впервые.
Приведены основные постулаты криптографии
И конечно самые частые персоны этой науки Алиса и Боб получили свою стену и там важно остановиться и обдумать информацию.