"Информзащита" представила топ-10 уязвимостей и недостатков за 2014 г.

Эксперты компании «Информзащита» представили очередную аналитику по результатам более 40 выполненных проектов 2014 г. Исследование коснулось комплексных и технических аудитов ИБ, по итогам которых специалистами был определен тое-10 самых распространенных уязвимостей и недостатков, выявленных в компаниях из разных областей бизнеса: финансы и телеком, транспортные организации и нефтегазовая промышленность. Как сообщили CNews в «Информзащите», большинство обнаруженных уязвимостей связаны с процессом управления доступом. Так, например, часто встречаются отсутствие или некорректная настройка парольных политик различных компонентов ИТ-инфраструктуры или использование небезопасных протоколов удаленного доступа. Несмотря на повышение из года в год осведомленности сотрудников в области ИБ, проблемы отсутствия парольных политик и паролей по умолчанию остаются актуальными. Например, до сих пор часто можно встретить использование протокола TELNET для внутреннего администрирования, что в совокупности с некорректными настройками сетевого оборудования, приводящими к уязвимостям класса ARP Cache Poisoning, создает риски раскрытия аутентификационных данных сетевых администраторов внутренним злоумышленником. Использование средств защиты информации не всегда является оптимальным и зачастую используется «для галочки», указали в «Информзащите». Так, например, в большинстве компаний для средств обнаружения вторжений не настроены своевременное обновление сигнатур угроз и оповещения в случае обнаружения угрозы; для межсетевых экранов некорректно настроены правила фильтрации сетевого трафика. Традиционно мало внимания уделяется процессу управления изменениями ИТ-инфраструктуры, и нередко проводимые изменения никак не документируются. Для них также не производится оценка рисков информационной безопасности, что делает невозможным принятие информированных решений о целесообразности проведения изменений, а также о необходимых мерах снижения рисков ИБ, отметили в компании. Данный подход зачастую приводит к появлению уязвимостей в информационной инфраструктуре в результате изменений, а также нерациональному расходу ресурсов на приобретение средств защиты. Замыкает список наиболее часто встречающихся уязвимостей отсутствие корректных настроек политик аудита событий ИБ. Например, отсутствие настройки регистрации событий некоторых компонентов ИТ-инфраструктуры, отсутствие требований к хранению журналов зарегистрированных событий, а также отсутствие централизованного сервера хранения зарегистрированных событий. Для наглядности компания приводит следующий список наиболее распространенных уязвимостей и недостатков: не настроены или некорректно настроены парольные политики; администрирование сетевого оборудования с помощью небезопасного протокола TELNET; аудит событий не настроен или настроен некорректно; межсетевые экраны содержат избыточные правила; некорректно проведена сегментация сети, в частности, серверные сегменты не отделены от пользовательских сегментов; не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости; отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса ARP Cache Poisoning; отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений; использование небезопасных протоколов для удаленного доступа с помощью технологии VPN; некорректно настроены ограничения прав доступа к системным файлам. «Как мы видим, большинство обнаруженных уязвимостей относятся к некорректному управлению доступом и недостаткам безопасности сетевой инфраструктуры. При этом большей частью обнаруженных уязвимостей смогли бы воспользоваться внутренние злоумышленники, тогда как внешний периметр защищен достаточно хорошо, — отметил Денис Хлапов, архитектор проектов по аудитам, «Информзащита». — Тем не менее, наиболее распространенные уязвимости являются критичными и могут принести существенный вред бизнесу компаний в случае их эксплуатации злоумышленником. Без сомнения, компаниям нужно больше внимания уделять процессам управления доступом, изменениями и обновлениями. Также необходимо периодически проводить внутренние аудиты ИБ, анализ защищенности периметра и оценку рисков». По словам экспертов «Информзащиты», приведенные выше уязвимости могут позволить инсайдеру повысить свои привилегии в инфраструктуре вплоть до административных. Такое положение дел может грозить как компрометацией критичных данных, так и нарушением штатного функционирования бизнес-процессов. Учитывая, что практически в каждом проводимом аудите были обнаружены недостатки настроек регистрации событий информационной безопасности, расследование возможных действий инсайдера будут крайне затруднительны. В настоящее время видно стремление многих компаний укрепить безопасность внешнего периметра информационной инфраструктуры, при этом далеко не всегда учитываются риски действий инсайдеров. При данном подходе к обеспечению информационной безопасности так же не учитывается понятие «эшелонированности» системы защиты, подчеркнули в «Информзащите». При компрометации какого-либо внешнего ресурса (например, веб-сервера) внешний злоумышленник с гораздо больше вероятностью получит доступ к критичным данным во внутренней сети компании. «Проведенные нами аудиты явно демонстрируют пренебрежение компаний внутренней безопасностью ради защиты от атак извне. Такой подход можно понять, но, безусловно, он не является корректным и может привести к существенным потерям при удачных действиях как внешних злоумышленников, так и инсайдеров», — заключили в компании. Ссылка на источник