Согласно недавним отраслевым исследованиям, за уходящий год объем украденных данных в крупных компаниях увеличился в полтора раза, достигнув 23% от общего числа жертв. Киберпреступники похищали данные организаций ритейла, финансов, сферы карьеры и образования, интернет‑сервисов и ИТ‑компаний. Руководитель отдела непрерывного мониторинга безопасности Angara Security Максим Ежов представил свой взгляд на тенденции в области развития средств защиты информации и рекомендации для компаний по повышению безопасности.

CNews: Как чаще всего проиcходят инциденты, связанные с утечками информации, и какую долю в общей картине кибератак они составили в 2023 году?

Максим Ежов: Большинство таких инцидентов допускаются в результате взломов объектов находящихся на внешнем периметре организации, то есть объектов доступных из сети интернет. Эту часть корпоративной инфраструктуры, где сконцентрированы клиентские сервисы, веб-ресурсы и сетевое оборудование, атакуют наиболее часто. Количество уязвимостей в периметровых объектах от общего объема утечек на сегодняшний день составляет почти 25%.

Многие организации применяют сканеры безопасности для поиска уязвимостей, а далее привлекают своих ИБ-специалистов для анализа и оценки рисков. Однако, сложность для компаний состоит в том, что в течение года обновляется до 80% ИТ-инфраструктуры.

При исследовании внешнего периметра организаций самые часто выявляемые слабые места — это поддержка протокола TLS версии 1.0/1.1, использование нестойких алгоритмов шифрования в SSL, и истечение срока действия сертификата SSL. Из-за них канал подключения к удаленному ресурсу, например к веб-сайту, оказывается не защищен. В других случаях современные браузеры оповещают пользователей о небезопасности ресурса, из-за чего бизнес теряет клиентов.

При этом постоянно добавляются новые объекты потенциальных атак, что происходит ввиду подключения внешних сервисов, расширения функционала приложений, внедрения Enterprise, opensource-решений. Каждый этап обновления инфраструктуры несет риск появления новых уязвимостей или неверно настроенных систем, которые могут нарушить работу критичных аспектов деятельности или бизнес-процессы компании.

Кроме того, существует второй серьезный фактор, составляющий более 23% от общей доли утечек  это скомпрометированная учетная запись. Она появляется, когда у работников установлены слабые пароли и отсутствует двухфакторная аутентификация. При этом пользователи оставляют корпоративную электронную почту при регистрации на внешних сайтах, например площадках вебинаров или при регистрации на мероприятиях.

Злоумышленник, взломав такой веб-сайт, получает актуальные почтовые адреса. При слабой защите входа пользователя на web клиент почтового сервера, злоумышленник может получить доступ ко всей почтовой переписке, которая может содержать персональным данные.

CNews: Как забытый тестовый веб-сервер может открыть двери хакеру во внутрь?

Обычно такие серверы используют продакт-менеджеры или команды разработки для тестирования какого-либо сценария на веб-сайте, будь то дизайн интерфейса, или функционал нового личного кабинета пользователя в рамках CustDev, при этом забывая про необходимость обеспечения безопасности. ИТ-департамент и разработчики спешат быстро протестировать новый функционал, зачастую с не полностью обезличенными персональными данными, минуя согласование с ИБ-департаментом, и в спешке забывают его отключить.

Для выстраивания полноценного процесса выявления уязвимостей и управления ими, компании все чаще переходят на непрерывный мониторинг защищенности внешнего периметра.

CNews: В чем отличие такого постоянного контроля от привычного размещения сканера в облаке?

Непрерывный мониторинг внешнего периметра позволяет организовать системный процесс выявления и управления уязвимостями. Например, подобное решение от компании Angara Security в рамках инвентаризационного сканирования проверяет заданный перечень IP-адресов с определением открытых портов (TCP/UDP), определяет доступные сервисы на открытых портах и хостах, а также их версии. Сервис предоставляет сравнительный анализ выявленных сетевых узлов, портов, изменений относительно результатов предыдущего сканирования.

Полученные данные доступны для просмотра в режиме реального времени в личном кабинете сервиса. ИБ-специалист заказчика видит в формате интерактивных дашбордов актуальный статус внешнего периметра, новые обнаруженные и устраненные уязвимости, а также уровень их критичности.

Для обнаружения слабых мест используются сетевые сканеры, инструменты для инвентаризации, анализ веб-ресурсов. Все выявленные уязвимости с оценкой критичности «средний» и выше верифицируются нашими экспертами, которые готовят рекомендации по устранению недостатков. Специалист ИБ Заказчика может сразу использовать данные для принятия решений при управлении рисками на внешнем контуре. По наличию в проверенном отчете критичных уязвимостей он определяет приоритетность их устранения и далее контролирует их устранение ИТ-подразделением.

По результатам серии пилотных и продовых проектов штатные ИБ-специалисты отметили такие достижения как: сокращение времени на формирование пула задач для ИТ-подразделения по исправлению критичных уязвимостей, а также внедрение мониторинга устранения рисков IT-активов внешнего периметра в режиме «одного окна».

Потребность рынка в такой услуге увеличилась, в том числе и в связи с уходом западных вендоров, ранее ее предоставлявших и обновлявших ПО на защите внешнего периметра, а также веб-сервисы и оборудование.

CNews: Какие существуют подходы к минимизации таких рисков утечки информации?

Важно понимать, что если компания не знает о каком-то объекте  угрозе для своей инфраструктуры (например, тот же тестовый веб-сервер, который забыли отключить), то никакие превентивные меры не помогут. Таким образом, первый шаг — это понимание своей ИТ-инфраструктуры и сканирование внешнего периметра на постоянной основе.

Разница между хорошо всем знакомым Vulnerability Scanner и более новым подходом External Attack Surface Management (EASM) в том, что первый больше нацелен на выявление и устранение уязвимостей во внутренней структуре организации, а второй — на предоставление ей актуального видения угроз, исходящих из сети Интернет.

Для покрытия максимального количества уязвимостей необходимо использовать несколько сканеров и, получая из них информацию, проверить эти данные в части тех уязвимостей, которые отмечены как критичные. Сканер — это технический инструмент, и он может ошибаться. В рамках услуги непрерывного мониторинга ИБ-специалист заказчика получает готовый отчет с уже подготовленными рекомендациями по устранению уязвимостей для ИТ-подразделения.

CNews: В чем барьеры для компаний в организации внешнего сканирования?

Если мы говорим о тех, кто уже осознал потребность в таком инструменте, то я бы назвал два фактора, замедляющих его внедрение. В первую очередь, организации опасаются, что такое сканирование приведет к снижению производительности инфраструктуры: например, сбоям в работе интернет-магазина в пиковые сезонные нагрузки и снижению прибыли.

Однако, такие опасения преувеличены, потому что сканирования проводятся в согласованное время, часто в ночное, когда отсутствует наплыв пользователей на внешние ресурсы компаний. К тому же, ИБ-экспертами всегда производится мониторинг инфраструктуры на предмет появления сбоев.

Так, если мы видим снижение производительности, то сокращаем интенсивность внешнего сканирования. Мы предлагаем заказчикам гибкие условия по сканированию, в удобное для них время, и покрываем максимальную площадь по поиску уязвимостей с помощью большого количества технических средств. К этому добавляется опыт и компетенции профессиональных пентестеров, что обеспечивает высокий уровень качества рекомендаций. С первых же сканирований заказчик уже получают отчеты по рискам, исходящих из сети Интернет по отношению к его ИТ-системам, которые помогают штатным ИБ-специалистам. Это, конечно, существенно, облегчает им жизни в защите данных.

И еще одна сложность при организации собственного сканирования — отсутствие в компании выделенного ИБ-специалиста с фокусом на уязвимости, который сможет правильно интерпретировать информацию из отчета-рекомендации для ИТ-подразделения с целью устранения ИБ-рисков. Мы до сих пор встречаем такие компании — обычно это организации с штатом до 150 человек.

CNews: На ваш взгляд, какие будут преобладать тенденции в ближайшее время в области таких средств защиты?

Рынок услуг непрерывного мониторинга будет активно развиваться, сервисы будут наполняться дополнительными элементами и услугами. Мы уже видим появляющиеся запросы организаций на поиск информации о себе из открытых источников (OSINT), хранение в личном кабинете информации по проведенным пентестам. Компании ищут возможность в едином интерфейсе получать данные как из внутренних сканеров, так и из систем непрерывного мониторинга от внешних экспертов. Такие сервисы будут становиться более «умными» для того, чтобы заказчик получил возможность ранжировать по уровню критичности рисков у себя те или иные активы.

cnews.jpg

21.12.2023 14:06:00

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах