Почти во всех материалах о современных нарушениях вы услышите упоминание о «поверхности кибератаки» или о чем-то подобном. Это важно для понимания того, как работают атаки, и в чём заключается наибольшая уязвимость организации. Во время пандемии поверхность атак выросла, вероятно, обширнее и быстрее, чем когда-либо в прошлом. И это породило новые проблемы. К сожалению, сегодня организации все чаще не могут определить истинный размер и сложность своей поверхности атаки, оставляя свои цифровые и физические активы беззащитными перед субъектами угроз.
К счастью, выполнив несколько отличных практических вещей, эти же защитники могут также улучшить способность наблюдать за поверхностью атаки, а вместе с этим получить более глубокое понимание того, что необходимо для ее минимизации и управления ею.
Какова поверхность корпоративной атаки?
На базовом уровне поверхность атаки можно определить как физические и цифровые активы, которыми владеет организация, и которые могут быть скомпрометированы для облегчения кибератаки. Конечной целью злоумышленников, стоящих за этим, может быть что угодно – от развертывания программ-вымогателей и кражи данных до включения машин в ботнет, загрузки банковских троянов или установки вредоносных программ для крипто-майнинга. Суть в следующем: чем больше поверхность атаки, тем больше цель, в которую должны целиться преступники.
Давайте более подробно рассмотрим две основные категории поверхности атаки:
Поверхность цифровой атаки
Здесь описывается все оборудование, программное обеспечение и компоненты организации, подключенные к сети. К ним относятся:
Приложения: Уязвимости в приложениях являются обычным явлением и могут предоставить злоумышленникам полезную точку входа в критически важные ИТ-системы и данные.
Код: Серьезный риск сейчас, когда большая его часть компилируется из сторонних компонентов, которые могут содержать вредоносные программы или уязвимости.
Порты: Злоумышленники все чаще сканируют открытые порты и проверяют, прослушивают ли какие-либо сервисы определенный порт (напр., TCP-порт 3389 для RDP). Если эти сервисы настроены неправильно или содержат ошибки, ими можно воспользоваться.
Серверы: Они могут быть атакованы с помощью уязвимостей или переполнены трафиком при DDoS-атаках.
Веб-сайты: Еще одна часть поверхности цифровой атаки с несколькими векторами атаки, включая недостатки кода и неправильную конфигурацию. Успешная компрометация может привести к повреждению веб-сайта или внедрению вредоносного кода для мимоходных и других атак (т.е. formjacking).
Сертификаты: Организации часто допускают истечение срока их действия что позволяет злоумышленникам воспользоваться этим.
Это далеко не полный список. Чтобы подчеркнуть масштабы цифровой атаки, рассмотрим исследование 2020 года, посвященное фирмам из списка FTSE 30. Было выявлено:
- 324 сертификата с истекшим сроком действия
- 25 сертификатов, использующих устаревший алгоритм хэширования SHA-1
- 743 возможных тестовых сайта, доступных в Интернете
- 385 небезопасных форм, из которых 28 были использованы для аутентификации
- 46 веб-платформ с известными уязвимостями
- 80 экземпляров ныне несуществующего PHP 5.x
- 664 версии веб-серверов с известными уязвимостями
Поверхность физической атаки
Сюда входят все конечные устройства (рабочие места), к которым злоумышленник может получить «физический» доступ, например:
- Настольные компьютеры
- Жесткие диски
- Ноутбуки
- Мобильные телефоны/устройства
- Флэш-накопители
Также есть основания утверждать, что ваши сотрудники являются основной стороной поверхности физической атаки организации, поскольку ими можно манипулировать с помощью социальной инженерии (фишинг и его варианты) в ходе кибератаки. Они также несут ответственность за теневые ИТ-технологии, несанкционированное использование приложений и устройств сотрудниками для обхода корпоративных мер безопасности. Используя эти неутвержденные – и часто недостаточно защищенные – инструменты для работы, они могут подвергнуть организацию дополнительным угрозам.
Увеличивается ли поверхность атак?
Организации уже много лет создают свои ИТ-и цифровые ресурсы. Но с наступлением пандемии инвестиции в огромных масштабах были направлены на поддержку удаленной работы и поддержание деловых операций в период крайней неопределенности на рынке. Это расширило поверхность атак несколькими очевидными способами:
- Удаленные конечные рабочие точки (напр., ноутбуки, настольные компьютеры)
- Облачные приложения и инфраструктура
- Устройства интернета вещей и 5G
- Использование кода сторонних разработчиков и системной инженерии (DevOps)
- Инфраструктура удаленной работы (VPN, RDP и т.д.)
Назад пути нет. По мнению экспертов, многие компании в настоящее время преодолели переломный цифровой момент, который навсегда изменит их деятельность. Это потенциально плохая новость для поверхности атак, поскольку она может вызвать:
- Фишинговые атаки, использующие недостаточную осведомленность сотрудников о безопасности
- Вредоносные программы и уязвимости, нацеленные на серверы, приложения и другие системы
- Украденные или взломанные пароли, используемые для несанкционированного входа в систему
- Использование неправильных настроек (напр., в облачных учетных записях)
- Украденные веб-сертификаты
… и многое другое. На самом деле, существуют сотни векторов атак для субъектов угроз, некоторые из которых чрезвычайно популярны. ESET выявила 71 миллиард попыток компрометации с помощью неправильно настроенного RDP в период с января 2020 года по июнь 2021 года.
Как снизить риски атаки на поверхности
Поверхность атаки имеет принципиальное значение для наилучшей практики кибербезопасности, поскольку понимание ее размера и принятие мер по ее сокращению или управлению ею является первым шагом на пути к упреждающей защите. Вот несколько советов:
- Во-первых, поймите размер поверхности атаки с помощью аудита активов и запасов, теста на проникновения, сканирования уязвимостей и многого другого.
- Уменьшите размер поверхности атаки и связанный с ней кибер-риск там, где вы можете, с помощью:
- Исправление на основе рисков и управление конфигурацией
- Консолидация конечных рабочих станций, отказ от устаревшего оборудования
- Обновление программного обеспечения и операционных систем
- Сегментирование сетей
- Следование лучшим практикам DevSecOps
- Постоянное управление уязвимостями
- Снижение рисков в цепочке поставок
- Меры безопасности данных (т. е. надежное шифрование)
- Надежное управление идентификацией и доступом
- Подходы с нулевым доверием
- Непрерывное ведение журнала и мониторинг систем
- Программы повышения осведомленности пользователей
Корпоративная ИТ среда находится в постоянном движении – благодаря широкому использованию виртуальных машин, контейнеров и микросервисов, постоянному прибытию и отъезду сотрудников, а также новому оборудованию и программному обеспечению. Это означает, что любые попытки управлять поверхностью атаки и понимать её должны предприниматься с помощью гибких интеллектуальных инструментов, работающих на основе данных в режиме реального времени. Как всегда, вашими лозунгами на этом пути должны быть возможность наблюдения и контроля.
