Наш партнер Positive Technologies поделился важным исследованием корпоративного Интернет-сегмента, которое выявило основные проблемы защищенности российских компаний. Эксперты проанализировали результаты инструментального сканирования уязвимостей сетевых периметров информационных систем своих клиентов, среди которых крупнейшие компании России.
Срез организаций, согласившихся на анализ обезличенных данных, включает финансовые, промышленные, телекоммуникационные, ИТ, государственные, торговые и рекламные компании:
Рис.1 – срез организаций-участников тестирования
Инструментальный анализ включает не только сканирование открытых портов и доступных извне сервисов, но и поиск их потенциальных уязвимостей, а также доступных эксплоит к ним.
Основные выводы:
-
У 84% компаний выставлены в общий доступ ресурсы с уязвимостями высокого уровня риска, причем на 50% из них существуют программные коррекции и обновления, которые по факту не установлены.
-
10% из обнаруженных уязвимостей имеют публичные эксплоиты, которыми могут воспользоваться низко квалифицированные хакеры (например, вирус WannaCry может быть проэксплуатирован у 26% организаций).
-
Для большого процента организаций остаются актуальными такие критические атаки, как POODLE (84%), SWEET32 и другие атаки на SSL/TLS (Рис. 2), атаки на SSH (74%).
Рис. 2 – доступность к выполнению атак на SSL/TLS/OpenSSL
-
У ряда организаций все еще обнаруживается открытый внешний доступ к таким сервисам, как NetBIOS (26%) и Microsoft DS (26%), Telnet (21%), FTP (42%).
Суммарный срез по категориям уязвимостей и их последствиям у экспертов Positive Technologies получился следующим:
Рис. 3 – категории выявленных уязвимостей и доля организаций, где они встречаются
Как обеспечить безопасность
Важным элементом защиты является инвентаризация, в том числе теневого ИТ. Кроме того, важно обеспечить контроль и анализ политик шлюзов доступа и адресной трансляции. Не лишним будет использовать механизмы дополнительной защиты для управляющих соединений: двухфакторную аутентификацию, IPSec-шифрование и туннелирование, нестандартные порты, sudo и закрытие возможности root-подключений и пр.
Частая проблема ИБ и ИТ заключается в том, что сервис по объективным причинам не может быть обновлен до актуальной версии или определенные программные коррекции при установке дают сбой работы бизнес-приложения. В таком случае повысить уровень защищенности без ущерба для бизнеса можно через механизм виртуального патчинга – когда блокирование атаки на определенную уязвимость ПО происходит на уровне шлюза
доступа (NGFW, WAF и т. д.) через сигнатуру (IPS или др.). Так, для атаки WannaCry производители выпустили наборы сигнатур, которые, наряду со строгим ограничением доступа к SMB-протоколу (139, 445 порты), дают приемлемый уровень защиты. Примеры сигнатур:
-
Snort Rules for Cisco:
42329-42332 DoublePulsar (April 25)
42340 Anonymous SMB (April 25)
41978 Samba buffer overflow (March 14)
-
Trend Micro:
DDI Rule 2383: CVE-2017-0144 – Remote Code Execution - SMB (Request)
Trend Micro TippingPoint Filters 5614, 27433, 27711, 27935, 27928 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
ThreatDV Filter 30623 – helps to mitigate outbound C2 communication
Policy Filter 11403 – provides additional protection against suspicious SMB fragmentation
- McAfee NSP сигнатуры:
0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)
0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)
0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)
0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)
Функцию IPS часто технически выгодно отдать на отдельные устройства и решения. Таким образом обеспечивается запас производительности, появляется возможность реализации Fail-open hardware bypass интерфейсов, расширяется поддерживаемый набор сигнатур. Эксперты группы компаний Angara имеют обширный опыт работы с IPS-решениями как в режимах мониторинга через SPAN сессии и Network Packet Brocker решения, так и In-line инсталляции. Рекомендуемые решения:
-
Cisco NGIPS (Firepower Appliances, NGIPSv, Firepower Threat Defense для ISR),
-
Trend Micro Deep Discovery,
-
Palo Alto Threat Prevention (PA Appliances),
-
McAfee Network Security Platform,
-
Континент Детектор Атак.