Ищем и латаем дыры в защите корпоративных систем

Когда компания хочет узнать, насколько уязвима ее инфраструктура, она заказывает анализ защищенности от киберугроз. Наши коллеги из отдела сервисов безопасности ежегодно проверяют десятки компаний и иногда встречаются с довольно любопытными случаями. Разумеется, мы не имеем права раскрывать подробности о клиентах, однако соглашение о конфиденциальности не запрещает рассказывать о наиболее распространенных ошибках. Мы надеемся, что чужой опыт поможет вам сделать свою инфраструктуру более киберустойчивой.

Типичные ошибки

Исследуя способы нарушения периметра безопасности, наши коллеги собрали коллекцию типичных ошибок, из-за которых инфраструктура становится беззащитной в киберсреде. Вот они:

• Неадекватная сетевая фильтрация
• Публичный доступ к интерфейсам управления
• Слабые пароли учетных записей
• Уязвимости в веб-приложениях

На последний пункт стоит обратить особое внимание: в 73% тестов, проведенных нашими специалистами, именно уязвимости веб-приложений использовались для получения несанкционированного доступа к узлам внутри сетевого периметра. Вторая наиболее распространенная ошибка — свободный доступ к интерфейсам управления во всей сети. Иногда для получения доступа удается использовать логин и пароль, полученные с использованием других уязвимостей. В других случаях получается войти при помощи стандартных учетных данных, не измененных со времени изначальной установки. Также эффективны атаки перебором паролей и поиск учетных данных на других скомпрометированных узлах.

Еще одна распространенная проблема — недостаточно защищенный доступ к удаленно управляемым веб-интерфейсам (вроде контрольной панели администратора веб-приложения или системы CMS). Через них можно не только контролировать приложение, но и добраться до самой операционной системы.

Рекомендации

Чтобы оградить инфраструктуру от кибернападений, эксперты рекомендуют следующее.

• Задайте сильные пароли для административных учетных записей.
• Используйте разные аккаунты для разных систем.
• Своевременно обновляйте ПО до последних версий.
• Ограничьте сетевой доступ ко всем контрольным интерфейсам, включая веб-интерфейсы.
• Разрешите доступ только с ограниченного числа IP-адресов.
• Если вы абсолютно уверены, что вам необходим удаленный доступ, используйте VPN.
• Тщательно продумайте правила сетевой фильтрации, создания паролей и своевременного закрытия уязвимостей в веб-приложениях.
• Регулярно проводите анализ защищенности всех веб-приложений в открытом доступе.
• Наладьте автоматизированный процесс мониторинга уязвимостей и распространения исправлений.
• Проверяйте приложения после каждого изменения кода или перенастройки веб-сервера.
• Своевременно обновляйте все сторонние компоненты и библиотеки.
• Регулярно проверяйте, не используются ли в ваших системах учетные данные по умолчанию. Не забывайте о веб-приложениях, системах управления контентом и сетевых устройствах.

Больше технических подробностей, примеры тестирования на проникновение и статистические данные можно найти в нашем отчете «Анализ защищенности корпоративных информационных систем в 2017 году«, опубликованном на сайте Securelist.

Подробнее об анализе защищенности читайте на странице сервисов кибербезопасности.