Ситуация с информационной безопасностью России

 Как следует из отчета пентестеров,

🔴 63% организаций могут взломать начинающие хакеры.  

🔴 96% организаций открыты для профессиональных хакеров. 

🔴 21% проверенных организаций имеют явные следы пребывания хакеров, то есть были взломаны неоднократно.

🟢 7% организаций имеют высокий уровень защищенности.

Основными причинами успешного проникновения во внутреннюю сеть стали 

♦️ недостатки парольной политики,

♦️ уязвимости в коде веб-приложений и 

♦️ недостатки конфигурации сервисов, находящиеся на периметре сети (например, VPN, Citrix). 

🔴 Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей. Включите вы MFA когда-нибудь или нет? )

💥 Какие системы были атакованы чаще всего и соответственно стоит проверить у всех в первую очередь:

CMS - управлет контентом вашего сайта
Почтовый сервер - всегда доступен снаружи
PMS - управление проектами
Видеоконференции - тоже доступны снаружи

Почти в каждом пентесте выявляется уязвимость PetitPotam, которая помогает стать администратром домена Active Directory. Как защититься описано в KB5005413 у Microsoft.

Для повышения привилегий используются атаки, которые вы найдете по ключевым словам DCSync, LSA Secrets, LSASS memory, NTDS.dit.

В итоге, чем больше компаний перестанет пользоваться Microsoft Active Directory, тем защищенней они будут. 

🔴 Какие пароли пользователей встречаются на пентестах?

Да все те же, что последние 30 лет существования компьютеров:

12345678,
Qwerty123,
Aa12345678,
123qweASD,
123456,
123,
111111,
НазваниеКомпании2022,
пароли по-умолчанию.

Людей изменить нельзя, поэтому включите двухфакторную аутентификацию, чтобы снизить риск кражи и подбора пароля.

🛡 Обновите свои системы сегодня

На скриншоте приведен список уязвимостей, которые чаще всего использовались пентестерами. Для этих уязвимостей уже много лет есть обновления, но они до сих пор у компаний не установлены. 

Установите патчи, пожалуйста. Сегодня!

Полный отчет тут 

Услугами пентестеров пользуются компании на высоком уровне зрелости. Множество компаний просто не знают свой уровень защиенности. И можно только гадать как у них обстоят дела.

Изучаем подходы к ZTNA или как работает доверенный удаленный доступ компаний VK

Начну с благодарности. Сотрудники обожают работать из дома со времен COVID. Спасибо этой болезни за наш новый образ жизни. Я сам удаленку люблю со времени моей работы в IBM с 2006 года.

Какие есть риски удаленного доступа и чем защищаться

Существует готовый подход предоставления доверенного удаленного доступа своих сотрудников к корпоративной сети и для последующей обработки конфиденциальной информации: написания кода, перевода денег, создание других интеллектуальных продуктов. Его называют Zero Trust Network Access (ZTNA). Он стал развитием обычного доступа по Remote VPN. И причин расширения функциональности VPN несколько, часть я напишу ниже, не ограничивая общности.

Advanced Persistent Threat - это про искусство нападения и защиты

Buzzword из трех слов Advanced Persistent Threat уже лет десять мучает индустрию своим разным прочтением разными экспертами.

Для меня три буквы APT обозначают набор техник, которыми меня или мою организацию будут ломать. Для хакеров это набор каких-то утилит, каких-то алгоритмов, каких-то тактик их применения и также уровень экспертизы людей, которые будут эти утилиты и техники и тактики применять. Существует целые группировки таких людей, которые пользуются определенным набором утилит и схем нападения. И именно по этим двум факторам и различают группировки: какие утилиты и техники и как они используют. Мы понимаем, что невозможно знать все утилиты в мире и все техники атак в мире и все ИТ приложения в мире. Именно поэтому APT группировки часто специализируются только на определенной индустрии: кто-то хорошо ломает финансовые учреждения, кто-то промышленные, кто-то медицинские или государственные. Связано это с тем, что в каждой из индустрий нужно серьезно разбираться в деталях ее работы.

Серьезным подходом к классификации техник и тактик хакеров стало появление базы MITRE ATT&CK. Это самая успешная попытка записать в единую базу все известные техники и тактики хакеров. MITRE также классифицировали этапы их работы, которые также в литературе называют kill chain или cyber-attack lifecycle: подготовка утилит и ресурсов, проникновение, закрепление в сети, горизонтальное перемещение и эксплуатацию найденных критичных данных и ресурсов. И сегодня именно на основе этой базы знаний мы все делаем выборку конкретных техник и тактик хакеров конкретной APT группировки. Существует еще термин кампания (вторая буква именно а) - по сути это проект, когда хакеры подготавливают определенный набор инструментов (например, поддельных сайтов) фокусируются на определенные типы компаний (например, на финансовые) и занимаются применением своих знаний и утилит против этой группы компаний. Обычно каждая компания заканчивается выводом денег, как это сделал Cobalt и Lazarus c банками, кражей или уничтожением данных, как это было в Росавиации или даже остановкой предприятий, как это было с Rutube. На слуху чаще всего атаки вымогателей, когда компании хакеры шифруют все данные и просят выкуп как это было с компанией Garmin, которая заплатила 10 миллионов долларов за то, чтобы получить доступ к своим же данным, или норвежской компанией Norsk Hydro, которая отказалась платить и потратила 25 миллионов долларов на восстановление ИТ инфраструктуры в 40 странах мира.

Что же делать безопаснику: нужно ли ему знать все техники и тактики хакеров всего мира? Ведь мы только что решили, что это невозможно )

К счастью для нас, существуют типовые хакерские техники, которые используют хакеры всего мира. Это и типовые способы проникновения в сети и типовые способы закрепления в сети и типовые способы повышения привилегий и перемещения внутри сети. Да, этих способов тоже много, но установив средства контроля за этими техниками мы решаем задачу обнаружения злоумышленников. Злоумышленники тоже не стоят на месте - они постоянно придумывают техники обхода межсетевых экранов, систем предотвращения атак, песочниц и антивирусов. И поэтому защитники выстраивают многоэшелонированную защиту, иногда даже несколько средств защиты от одной и то же угрозы, чтобы хакер попал хотя бы в одну из ловушек.

Обычно продукты по безопасности сравнивают как раз по числу техник и тактик, которые может обнаружить система защиты.

Для продукта Positive Technologies Network Attack Discovery список методик защиты выглядит так

Основная проблема мира безопасности, что в компании есть деньги на устройства защиты, но нет людей, которые понимают что эти устройства защиты вообще делают или хотя бы что за информацию они пишут на экране и еще реже люди знают как на это надо реагировать. Именно поэтому существует анекдот, что девушка установила на компьютер антивирус, он ей нашел 12 вирусов, она подумала и удалила антивирус.

Как решать эту проблему?

1. Первым логичным решением стала автоматизация - средства защиты на основе экспертных знаний разработчиков сразу имеют возможность блокировать вредоносные действия внутри сети.
2. Вторым логичным решением стало обучение людей - появляются, хотя и с большим скрипом обучающие статьи, вебинары, курсы и даже программы повышения осведомленности и киберучения. На киберучениях все сотрудники копании помещаются в часто встречающуюся критичную ситуацию и учатся из нее выходить.
3. Третьим логичным решением стало использование аутсорсинга и аутстаффинга. Компании могут попросить внешние организации читать их журналы безопасности - это сервис называется MSS и даже могут попросить выбирать для них средства защиты и настраивать их - этот сервис называется MDR. Также часто вижу, что директора компаний стали нанимать советников по информационной безопасности и появился сервис Virtual CISO, когда на время приглашается руководителем именно эксперт по кибербезопасности, чтобы выстроить типовые процессы и сформировать правильную организационную структуру, позволяющую создать защищенные бизнес-процессы.

Среди безопасников есть те, кто занимается бумажной волокитой: соответствием требованиям государственных и отраслевых регуляторов. Есть те, кто занимается реальной безопасностью: созданием центров управления безопасностью SOC, команд реагирования CIRT и другими задачами. И третий тип - кто контролирует безопасность на уровне бизнеса, поддерживая business continuity согласно BCP/DRP. За границей это должность вице-президента по безопасности. В России пока что еще не распространенная должность. Обычно у этих сотрудников должен быть как минимум сертификат CISSP и от 10-15 лет работы в индустрии по специальности.