С внутренним врагом борись, но и о внешнем не забывай
В 2020 г. атаки на веб составили треть всех инцидентов информационной безопасности. Однако только 10% российских организаций считают, что веб-приложения являются приоритетным элементом инфраструктуры для сканирования на уязвимости. Это следует из опроса "Ростелеком-Солар", посвященного трендам Vulnerability Management (VM). Регулярные пентесты, проводимые специалистами компании, показывают, что больше половины (57%) веб-ресурсов имеют критические уязвимости, которые могут успешно использовать даже непрофессиональные хакеры.
В рамках исследования, которое проводилоcь в апреле-июне 2021 г., опрошены представители 200 организаций разного масштаба и профиля (госсектор, финансы, промышленность, ИT и др.).
Согласно данным опроса, всего 7% организаций осознают значимость сканирования изолированного (то есть не подключенного к интернету) сегмента ИТ-инфраструктуры. Например, это промышленные сети или закрытые государственные системы обмена данными. Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респондентов считают важным сканирование всех элементов инфраструктуры.
В целом, согласно опросу, контроль уязвимостей в том или ином виде есть в 70% организаций. Однако в большинстве из них сканирование проводится недостаточно регулярно: более 60% компаний сканируют инфраструктуру раз в квартал или реже. Это, по оценкам специалистов "Ростелеком-Солар", не соответствует динамике появления новых уязвимостей. В то же время анализ критических серверов и рабочих компьютеров сотрудников проводится более регулярно. Раз в квартал и реже эти элементы инфраструктуры проверяют 40% респондентов, остальные - чаще.
Почти во всех организациях сканирование либо проводится автоматически (так ответили 41% респондентов), либо силами одного выделенного ИБ-специалиста (39%). Как отмечают эксперты, этого недостаточно для оперативной обработки полученных со сканера данных и формирования актуальных рекомендаций по закрытию найденных уязвимостей.
В то же время часть опрошенных указывают на проблемы во взаимодействии между ИБ-службами и ИТ-администраторами своих организаций в вопросах установки патчей. В 12% опрошенных компаний ИТ-службы никак не реагируют на запросы о проведении необходимых обновлений даже в период массовых атак-пандемий.
"Концентрация на одном из сегментов инфраструктуры приводит к существенному ослаблению безопасности другого. С одной стороны, именно уязвимости внутренних сетевых узлов хакеры используют для развития атаки внутри инфраструктуры - для кражи данных, влияния на технологические процессы и т. п. С другой - компании, концентрируясь на внутренних уязвимостях, уделяют недостаточно внимания внешним, которые позволяют злоумышленникам проникнуть во внутренний контур. По нашей оценке, 44% веб-приложений, например корпоративные порталы, почтовые приложения, имеют некорректную настройку прав доступа, а 29% - возможности внедрения SQL-инъекций. Если говорить об изолированном контуре, то автоматические обновления ПО, которые закрывают многие уязвимости, здесь недоступны из-за отсутствия подключения к интернету. Это становится критично, так как ручной или полуручной процесс установки патчей отсутствует в 90% российских организаций", - отметил руководитель направления Vulnerability Management платформы сервисов кибербезопасности Solar MSS компании "Ростелеком-Солар" Максим Бронзинский.
По данным Check Point Software, каждые 10 секунд одна организация в мире становится жертвой вымогателей. "Защита облаков все еще остается важной задачей для 75% организаций. А более 80% компаний отметили, что их текущие инструменты по обеспечению кибербезопасности отличаются ограниченными возможностями в облаке либо не работают в облаках вовсе", - сообщается в исследовании от Check Point Software.
По данным экспертов Check Point Software, некоторые ИТ-специалисты и эксперты по безопасности стремятся использовать как локальную, так и облачную инфраструктуру. С точки зрения целесообразности, иногда бывает проще увеличить мощности уже имеющихся решений, чем отказываться от них в пользу совершенно новых. С другой стороны, такой подход может быть следствием поэтапного внедрения облачных сервисов или одним из решений проблемы хранения данных. Тем не менее, как сообщается в исследовании, 66% опрошенных специалистов используют облачные решения безопасности, 61% из них (среди которых 83% руководителей) считают, что облачные решения безопасности имеют решающее значение для масштабирования удаленного доступа.
Согласно Check Point, в ближайшие пару лет ведущими задачами безопасности для компаний будут обеспечение безопасной удаленной работы (61%), а также защита конечных устройств, в том числе и мобильных (59%). Актуальность этих проблем растет: чем больше конечных устройств - тем больше точек входа для хакеров. По данным исследования Check Point про мобильную безопасность, только в прошлом году 97% компаний столкнулись с мобильными угрозами одновременно по нескольким векторам атак, и в почти половине опрошенных организаций (46%) как минимум раз было скачано вредоносное приложение. "Киберпреступники знают, что удаленные сотрудники больше, чем когда-либо, полагаются на мобильные устройства, и активно атакуют корпоративные и личные мобильные устройства", - к такому выводу пришли эксперты Check Point Software.
Отметим также, что за первое полугодие 2021 г. "Лаборатория Касперского" обнаружила в русскоязычном даркнете около 700 объявлений, связанных с эксплойтами. Непосредственно сами программы для использования ошибок или уязвимостей содержались в 47 постах - в них можно было напрямую купить эксплойт или даже скачать его бесплатно. Среди таких предложений были эксплойты, предназначенные для уязвимостей в Microsoft Office, интернет-магазинах, сервисах VPN, CMS, социальных сетях, банковских системах, ОС Windows, Internet Explorer и устройствах IoT. В остальных записях можно было найти методички по применению эксплойтов, а также рекламу соответствующих магазинов.
"Информация о рынке эксплойтов сама по себе слишком общая для того, чтобы делать конкретные выводы и выстраивать на ее основании киберзащиту. Но в сочетании с отслеживанием активностей злоумышленников и пониманием, как извне выглядят публичные сервисы организации, эти данные могут стать основой для подготовки индивидуальных уведомлений об угрозах для конкретной компании. У нас сбор и анализ таких данных осуществляется в рамках сервиса информирования об угрозах (DFI, Digital Footprint Intelligence). Мы на своем опыте видим, что во многих ситуациях аналитические отчеты и оперативные уведомления об угрозах могут предупредить компании о предстоящих атаках на их бизнес и митигировать риски", - комментирует руководитель отдела разведки и анализа "Лаборатории Касперского" Сергей Щербель.
Руководитель департамента аудита и консалтинга Group-IB Андрей Брызгин отмечает, что исследования на предмет зрелости российских компаний в сфере информационной безопасности каждый раз дают повод для раздумий, насколько преходящим и эфемерным является состояние стабильности важных информационных систем. "В данном случае мы видим достаточно широкую выборку компаний - участников опроса как по отраслям, так и по размеру инфраструктур. Не менее разноплановым является и подход опрошенных к информационной безопасности - в частности, только 43% опрошенных компаний выделяют инфобез в отдельную функцию со штатом более одного человека. На наш субъективный взгляд, оставшиеся 57% не могут претендовать на зрелость подхода, так как мы не верим в успешное совмещение функций ИТ-отделов и службы информационной безопасности. Авторы исследования также указывают на проблемы взаимодействия между ИТ и ИБ. В случае же, если процессы ИБ возлагаются на одного человека, речь, как правило, идет лишь о вопросах соответствия внешним отраслевым или общеобязательным требованиям, а не построению сбалансированной системы выявления угроз информационной безопасности и противодействия им. На наш взгляд, более осознанных ответов следовало бы ожидать от тех самых 40% - очищенной выборки. Это могло снизить парадоксальность некоторых результатов. Было бы также интересно оценить структуру вопросов, особенно в свете того, что некоторые из них подразумевали несколько вариантов ответа, однако это скорее придирки к методологии и полноте раскрытия материалов исследования", - комментирует исследование Андрей Брызгин.
Что касается поднятой проблемы в целом, то, по словам Андрея Брызгина, она безусловно актуальна, зрелости в сфере информационной безопасности на рынке не хватает, а распределять внимание следует на все активы, способные выступить точкой входа в информационные системы для злоумышленника. "В то же время регулярных сканирований для таких сложных объектов, как публичные веб-приложения, особенно для самописных или коробочных, но подвергшихся серьезным доработкам, на наш взгляд недостаточно, в этом случае требуются мероприятия по пристальному изучению формализованной бизнес-логики и итерационные проверки обновлений сервисов. Так или иначе, ответственный подход к информационной безопасности собственных и клиентских активов требует накопления существенной экспертизы внутри компаний, и только с помощью внешнего, даже очень хорошего сервиса по менеджменту уязвимостей добиться приемлемого уровня защищенности невозможно, но в умелых руках такие сервисы приносят огромную пользу, хотя бы в части автоматизации проверочных рутин и понятной визуализации процесса. Мы в своей практике также используем собственные разработки данного типа и поставляем их клиентам", - говорит Андрей Брызгин.
Директор департамента информационной безопасности компании Oberon Евгений Суханов подчеркнул, что с рисками, которые возникают у клиентов компании в области защиты внешней веб-инфраструктуры, Oberon сталкивается регулярно, помогая выстраивать ее защиту и расследуя инциденты по ее компрометации. "Несмотря на высокий риск компрометации ресурсов во внешней сети, не все владельцы веб-приложений уделяют должное внимание вопросам обеспечения ИБ. Особенно это актуально для small-business-компаний. Своим клиентам мы обеспечиваем комплексный подход, внедрение систем защиты - WAF и др. - и регулярные тестирования на проникновение", - говорит Евгений Суханов.