Практически во всех обзорах современных взломов вы услышите упоминание о «поверхности кибератаки» или о чем-то подобном. Это важно для понимания того, как работают атаки и где организации наиболее уязвимы.
Во время пандемии поверхность атаки, возможно, росла дальше и быстрее, чем когда-либо в прошлом. И это создало свои проблемы. К сожалению, сегодня организации все чаще не могут определить истинный размер и характер поверхности своей атаки, оставляя свои цифровые и физические активы уязвимыми для злоумышленников.
К счастью, применяя несколько передовых методов, эти же защитники также могут улучшить видимость поверхности атаки и, таким образом, лучше понять, что необходимо для ее минимизации и управления.
Какова поверхность корпоративной атаки?
На базовом уровне поверхность атаки может быть определена как физические и цифровые активы, которыми владеет организация, которые могут быть скомпрометированы для облегчения кибератаки. Конечная цель злоумышленников, стоящих за этим, может заключаться в чем угодно: от развертывания программ-вымогателей и кражи данных до включения машин в бот-сеть, загрузки банковских троянов или установки вредоносного ПО для майнинга криптовалют. Суть в том, что чем больше поверхность атаки, тем больше цель, в которую должны целиться плохие парни.
Давайте рассмотрим две основные категории поверхностей атаки более подробно.
Поверхность цифровой атаки
Здесь описывается все подключенное к сети оборудование, программное обеспечение и связанные компоненты организации. Это включает:
- Приложения: уязвимости в приложениях являются обычным явлением и могут предложить злоумышленникам полезную точку входа в критически важные ИТ-системы и данные.
- Код: серьезный риск сейчас, поскольку большая часть его скомпилирована из сторонних компонентов, которые могут содержать вредоносные программы или уязвимости.
- Порты: злоумышленники все чаще сканируют открытые порты и прослушивают ли какие-либо службы определенный порт (например, порт TCP 3389 для RDP). Если эти службы неправильно настроены или содержат ошибки, ими можно воспользоваться.
- Серверы: они могут быть атакованы с помощью эксплойтов уязвимостей или затоплены трафиком при DDoS-атаках.
- Веб-сайты: еще одна часть поверхности цифровой атаки с несколькими векторами атаки, включая недостатки кода и неправильную конфигурацию. Успешная компрометация может привести к повреждению веб-сайта или внедрению вредоносного кода для атак наездных и других атак (например, взлома форм).
- Сертификаты: организации часто позволяют им истекать, что позволяет злоумышленникам воспользоваться преимуществами.
Это далеко не полный список. Чтобы подчеркнуть масштабы поверхности цифровых атак, рассмотрим исследование компаний из списка FTSE 30 за 2020 год. Было обнаружено:
- 324 сертификата с истекшим сроком действия
- 25 сертификатов с использованием устаревшего алгоритма хеширования SHA-1
- 743 возможных тестовых сайта, подключенных к интернету
- 385 незащищенных форм, 28 из которых использовались для аутентификации
- 46 веб-фреймворков с известными уязвимостями
- 80 экземпляров ныне несуществующего PHP 5.x
- 664 версии веб-сервера с известными уязвимостями
Поверхность физической атаки
Сюда входят все конечные устройства, к которым злоумышленник может получить «физический» доступ, например:
- Настольные компьютеры
- Жесткие диски
- Ноутбуки
- Мобильные телефоны/устройства
- Флеш-накопители
Также можно сказать, что ваши сотрудники являются основной частью поверхности физической атаки организации, поскольку ими можно манипулировать с помощью социальной инженерии (фишинг и его варианты) в ходе кибератаки. Они также несут ответственность за теневую ИТ-инфраструктуру, несанкционированное использование приложений и устройств сотрудниками для обхода корпоративных мер безопасности. Используя эти неутвержденные — и часто недостаточно защищенные — инструменты для работы, они могут подвергнуть организацию дополнительным угрозам.
Увеличивается ли поверхность атаки?
Организации наращивали свои ИТ и цифровые ресурсы в течение многих лет. Но с наступлением пандемии были вложены огромные средства для поддержки удаленной работы и поддержания бизнес-операций во время крайней неопределенности на рынке. Это расширило поверхность атаки несколькими очевидными способами:
- Удаленные рабочие конечные точки (например, ноутбуки, настольные компьютеры)
- Облачные приложения и инфраструктура
- Устройства интернета вещей и 5G
- Использование стороннего кода и DevOps
- Удаленная рабочая инфраструктура (VPN, RDP и т. д.)
И здесь нет обратного пути. По мнению экспертов, многие компании сейчас переживают переломный момент в области цифровых технологий, который навсегда изменит их деятельность. Это потенциально плохие новости для поверхности атаки, так как она может вызвать:
- Фишинговые атаки, использующие недостаточную осведомленность сотрудников о безопасности
- Эксплойты вредоносных программ и уязвимостей, нацеленные на серверы, приложения и другие системы
- Украденные или взломанные пароли, используемые для несанкционированного входа в систему
- Использование неправильных конфигураций (например, в облачных учетных записях)
- Украденные веб-сертификаты
…и многое другое. Фактически, существуют сотни векторов атак для злоумышленников, некоторые из которых очень популярны. К примеру, в период с января 2020 года по июнь 2021 года ESET обнаружила 71 млрд попыток взлома через неправильно настроенный протокол RDP.
Как снизить риски
Поверхность атаки имеет фундаментальное значение для передовой практики кибербезопасности, потому что понимание ее размера и принятие мер по ее уменьшению или управлению — это первый шаг к проактивной защите. Вот несколько советов:
1) Надо понять размер поверхности атаки с помощью аудита активов и инвентаря, тестирования на проникновение, сканирования уязвимостей и многого другого.
2) Уменьшить размер поверхности атаки и связанный с ней кибер-риск, где это возможно, можно через:
- Установка исправлений и управление конфигурацией на основе рисков
- Консолидация конечных точек, отказ от устаревшего оборудования
- Обновление программного обеспечения и операционных систем
- Сегментирование сетей
- Следуя лучшим практикам DevSecOps
- Постоянное управление уязвимостями
- Снижение рисков цепочки поставок
- Меры безопасности данных (например, надежное шифрование)
- Надежное управление идентификацией и доступом
- Подходы с нулевым доверием
- Непрерывное ведение журнала и мониторинг систем
- Программы обучения осведомленности пользователей
Корпоративная ИТ-среда находится в постоянном движении — благодаря широкому использованию виртуальных машин, контейнеров и микросервисов, постоянному прибытию и уходу сотрудников, а также новому оборудованию и программному обеспечению. Это означает, что любые попытки управлять и понять поверхность атаки должны предприниматься с помощью гибких, интеллектуальных инструментов, которые работают с данными в реальном времени. Как всегда, вашими лозунгами на этом пути должны быть «видимость и контроль».