- Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
- Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
- Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.
четверг, 26 мая 2022 г.
Advanced Persistent Threat - это про искусство нападения и защиты
воскресенье, 22 мая 2022 г.
Часто используемые хакерами уязвимости 2021 года
На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.
В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.
Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.
CVE | В каком ПО обнаружена | Название уязвимости | Тип уязвимости | Базовая оценка CVSS |
---|---|---|---|---|
CVE-2021-27101 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27103 | Accellion FTA | Подделка запроса на стороне сервера | 9,8 | |
CVE-2021-27104 | Accellion FTA | Remote code execution (RCE) | 9,8 | |
CVE-2021-27102 | Accellion FTA | Remote code execution (RCE) | 7,8 | |
CVE-2021-26855 | Сервер Microsoft Exchange | ProxyLogon | Подделка запроса на стороне сервера | 9,8 |
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 | Сервер Microsoft Exchange | ProxyLogon | Remote code execution (RCE) | 7,8 |
CVE-2021-44228 | Библиотека Apache Log4j2 | Remote code execution (RCE) | 10,0 | |
CVE-2021-28799 | QNAP NAS | Remote code execution (RCE) | 9,8 | |
CVE-2021-34527 | Диспетчер печати Windows | PrintNightmare | Remote code execution (RCE) | 8,8 |
CVE-2021-34473 | Сервер Microsoft Exchange | ProxyShell | Remote code execution (RCE) | 9,8 |
CVE-2021-34523 | Сервер Microsoft Exchange | ProxyShell | Повышение привилегий | 9,8 |
CVE-2021-31207 | Сервер Microsoft Exchange | ProxyShell | Обход аутентификации | 7,2 |
CVE-2021-40444 | Модуль MSHTML в Internet Explorer | Remote code execution (RCE) | 7,8 | |
CVE-2021-21972 | VMware | (обнаружена экспертом Positive Technologies Михаилом Ключниковым) | Remote code execution (RCE) | 9,8 |
Для сравнения мировые организации Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях
CVE | В каком ПО обнаружена | Vulnerability Name | Type |
Apache Log4j | Log4Shell | Remote code execution (RCE) | |
Zoho ManageEngine AD SelfService Plus | RCE | ||
Microsoft Exchange Server | ProxyShell | Elevation of privilege | |
Microsoft Exchange Server | ProxyShell | RCE | |
Microsoft Exchange Server | ProxyShell | Security feature bypass | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Microsoft Exchange Server | ProxyLogon | RCE | |
Atlassian Confluence Server and Data Center | Arbitrary code execution | ||
VMware vSphere Client | RCE | ||
Microsoft Netlogon Remote Protocol (MS-NRPC) | ZeroLogon | Elevation of privilege | |
Microsoft Exchange Server | RCE | ||
Pulse Secure Pulse Connect Secure | Arbitrary file reading | ||
Fortinet FortiOS and FortiProxy | Path traversal |
CVE | Vendor and Product | Type |
Sitecore XP | RCE | |
ForgeRock OpenAM server | RCE | |
Accellion FTA | OS command execution | |
Accellion FTA | Server-side request forgery | |
Accellion FTA | OS command execution | |
Accellion FTA | SQL injection | |
VMware vCenter Server | RCE | |
SonicWall Secure Mobile Access (SMA) | RCE | |
Microsoft MSHTML | RCE | |
Microsoft Windows Print Spooler | RCE | |
Sudo | Privilege escalation | |
Checkbox Survey | Remote arbitrary code execution | |
Pulse Secure Pulse Connect Secure | Remote arbitrary code execution | |
SonicWall SSLVPN SMA100 | Improper SQL command neutralization, allowing for credential access | |
Windows Print Spooler | RCE | |
QNAP QTS and QuTS hero | Remote arbitrary code execution | |
Citrix Application Delivery Controller (ADC) and Gateway | Arbitrary code execution | |
Code execution | ||
Cisco IOS Software and IOS XE Software | Remote arbitrary code execution | |
Microsoft Office | RCE | |
Microsoft Office | RCE |
Также рекомендую посмотреть отчет какие решения используют компании.
Оцените свою внешнюю поверхность атаки
Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения
Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.
По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно.
Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye
Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.
И естественно вы можете это делать сами сканером безопасности.
Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.
И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.