BIS Journal №4(39)/2020

23 декабря, 2020

Управляй осиными гнёздами

Почему в банках опасно «консервировать» уязвимости: как настроить vulnerability management.

Пять дней — столько времени в среднем требуется злоумышленнику для проникновения во внутреннюю сеть банка. После чего взломщику обычно хватает двух дней для получения контроля над инфраструктурой кредитной организации — системами управления банкоматами, серверами карточного процессинга, рабочими станциями топ-менеджеров. Подобные исследования проводились нами в прошлом году в российских банках, входящих в топ-50 по активам, относящимся к разным размерным категориям. Одна из ключевых причин компрометации ценных активов связана с уязвимостями ПО. Их эксплуатация была возможна в 9 из 10 этих финансовых организаций.

Сегодня базы MITRE CVE List [1] и NVD [2] содержат более 100 тысяч записей об уязвимостях. Появление новых уязвимостей — это непрерывный поток. За сутки в среднем регистрируется 13 новых записей. И даже если в опенспейсе подразделения ИБ в момент публикации очередного уведомления будет загораться большая красная лампа, на эти сигналы вскоре перестанут обращать внимание.

На крупнейшем в России форуме по практической кибербезопасности Positive Hack Days один из гостей [3] однажды удивлённо заметил, что «часть специалистов по ИБ существуют словно в отрыве от практической безопасности», например,как это было с WannaCry: злоумышленники The Shadow Brokers выложили архивы с модулями, на базе одного из которых был сделан этот вирус-вымогатель, но многие профильные специалисты даже спустя несколько дней ничего не знали об этой опаснейшей утечке. Об уязвимости стало известно в феврале 2017 года, эксплойт появился в апреле, а останавливать предприятия по всему миру операторы WannaCry начали в мае.

Для создания работающего процесса управления уязвимостями (vulnerability management, VM) нужна всесторонняя работа: инвентаризация, анализ защищённости, приоритизация, создание и выполнение регламентов устранения уязвимостей и проверка результатов этого устранения.

 

НАВЕДИТЕ ПОРЯДОК В СВОИХ АКТИВАХ

Оптимальный подход к организации процесса управления уязвимостями начинается с актуализации данных об активах — элементов IT-инфраструктуры, подключённых к сети: это могут быть серверы, компьютеры,сетевое оборудование. Важно получить исчерпывающие сведения о них. В противном случае какие-то уязвимости могут быть не обнаружены.

Данные об активах можно аккумулировать за счёт сканирования в режимах чёрного и белого ящика, импорта данных из внешних каталогов (Active Directory, SCCM [4], гипервизоры), обнаружения активов по данным других решений ИБ (из анализа событий SIEM [5] и трафика NTA [6]), контроля недавно обнаруженных активов и тех, о которых давно не было информации.

После обнаружения активы нужно корректно идентифицировать. Чем больше параметров идентификации активов предоставит VM-система (FQDN [7], адреса MAC [8] и IP, тип ОС, имя сетевого узла, признаки виртуальности узла), тем лучше: так у вас получится избежать дублирования активов и ложных срабатываний средств защиты.

 

РАССТАВЛЯЙТЕ ПРИОРИТЕТЫ

Каждому активу должен соответствовать определённый уровень его значимости. Заранее оцените, как актив влияет на конфиденциальность и целостность данных, работоспособность важных для бизнеса сервисов. Это поможет определить уровень опасности найденных уязвимостей, варьировать сроки их устранения и рассчитывать свои финансовые и трудозатраты. Мы рекомендуем объединять активы по принадлежности к структурным подразделениям, автоматизированным системам, к IP-сетям или по наличию определённых ОС. Это позволит быстро проводить сканирование определённых подгрупп.

 

ВВЕДИТЕ ПРАВИЛА ОБРАБОТКИ УЯЗВИМОСТЕЙ

Если в вашей IT-инфраструктуре более 1000 активов, то управлять уязвимостями вручную невозможно. Отведите на ручную обработку только самые опасные уязвимости для конкретно вашей инфраструктуры, система анализа защищённости должна позволять специалистам ИБ определять такие уязвимости.

VM-система выявляет открытые сетевые порты и доступные службы, уязвимости в ПО, а также недостатки конфигурации оборудования, серверов и средств защиты. Данные по активам также следует соотносить с правилами, заданными в базе знаний VM. Разработчики систем используют общие базы уязвимостей (MITRE CVE List, NVD, OSVDB, БДУ ФСТЭК России), а также собственные базы знаний.

По итогам сканирования специалисты по ИБ, как правило, сталкиваются с огромным списком уязвимостей, и на этом этапе важно определить, какие уязвимости необходимо устранить в первую очередь. Можно опираться на оценку по CVSS [9] и искать дополнительную информацию: например, существуют ли доступные эксплойты для этой уязвимости и удавалось ли её использовать в процессе тестирований на проникновение. Другой путь — доверять оценке от вендора, но при условии, что вендор действительно обладает такой экспертностью.

 

УСТРАНЯЙТЕ УЯЗВИМОСТИ И ПРОВЕРЯЙТЕ ИХ ОТСУТСТВИЕ

Есть два подхода к устранению и проверки устранения уязвимостей — реактивный и проактивный.

При реактивном подходе IT-подразделение устанавливает патчи после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях, сформирует списки активов, ОС и ПО для реагирования. После проведённых работ специалисты по ИБ контролируют отсутствие уязвимостей через определённое число дней после их обнаружения на активе. Сроки устранения ИБ и IT обсуждают по каждой уязвимости или списку уязвимостей отдельно.

При проактивном подходе IT-подразделение регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. В этом случае специалисты по ИБ лишь контролируют отсутствие уязвимостей через определённое количество дней после публикации информации о них.

Если появляются особо опасные уязвимости, реагирование и проверки происходят вне очереди.

 

НА КАКИЕ УЯЗВИМОСТИ ОБРАТИТЬ ВНИМАНИЕ

В локальной сети банков можно встретить множество необновлённых систем, содержащих опасные уязвимости. До сих пор мы сталкиваемся с уязвимостью, используемой операторами шифровальщика WannaCry.

Кроме того, наша команда исследователей безопасности находила в инфраструктуре банков следующие уязвимости:

1. CVE-2018-9276. Уязвимость в ПО PRTG Network Monitor позволяет выполнить команды операционной системы на сервере при наличии прав администратора приложения. Данное ПО широко применяется во множестве компаний различных отраслей в качестве вспомогательного элемента, осуществляющего контроль за состоянием устройств в сети. Для устранения бреши надо установить версию ПО, начиная с 18.2.39.

2. CVE-2016-2004. Эта уязвимость была обнаружена ещё четыре года назад в ПО HP Data Protector, она позволяет удалённо выполнить произвольный код. Программное обеспечение служит для обеспечения автоматического резервного копирования и восстановления данных. Необходимо убедиться, что установлены более свежие редакции системы, чем 7.03_108, 8.15 или 9.06.

3. CVE-2018-0171. Данная уязвимость найдена в приложении Smart Install для Cisco IOS,также позволяет удалённо выполнить произвольный код. Cisco IOS — операционная система, используемая в маршрутизаторах и сетевых коммутаторах Cisco. В 2018 году эта уязвимость использовалась в ходе крупной ботнет-атаки, пострадали провайдеры по всему миру. Для определения версии и устранения уязвимости следуйте рекомендациям, описанным в уведомлении Cisco.

4. CVE-2019-0686. Критически опасная уязвимость в ПО Microsoft Exchange Server позволяет повысить привилегии в системе. По сути, она даёт возможность любому владельцу почтового ящика стать администратором домена. Были затронуты Microsoft Exchange Server 2019, Microsoft Exchange Server 2016, Microsoft Exchange Server 2013 — эти системы необходимо обновить до последних редакций.

5. CVE-2017-10271. Это уязвимость в Oracle WebLogic Server с уязвимым компонентом WLS-WSAT, позволяет удалённо выполнить произвольные команды на сервере. Брешь использовалась для заражения веб-серверов трояном Neutrino и атак на кластеры Elasticsearch. Для устранения проблемы необходимо установить более свежую версию продукта, нежели 12.2.1.2.0.

 

В ноябре мы представили систему управления уязвимостями нового поколения MaxPatrol VM. Решение позволяет организовать все перечисленные этапы управления уязвимостями. С помощью MaxPatrol VM можно:

  • собирать полные и постоянно актуализируемые данные о составе IT-инфраструктуры,
  • учитывать значимость защищаемых активов;
  • выявлять, приоритизировать и задавать правила обработки уязвимостей для IT-отдела;
  • контролировать устранение уязвимостей;
  • отслеживать общее состояние защищённости компании.

Возможности системы помогут контролировать управление уязвимостями как в штатном режиме, так и при срочных проверках. Продукт поступит в свободную продажу в первом квартале 2021 года.

 

[1] MITRE CVE List — реестр уязвимостей Common Vulnerabilitiesand Exposures, разработанный американской некоммерческой исследовательской корпорацией MITRE Corporation.

[2] NVD (National Vulnerability Database) — база данных уязвимостей, поддерживаемая Национальным институтом стандартов и технологий США.

[3] Комментарий Евгения Климова, ранее технического директора компании «Информзащита», в настоящее время заместителя генерального директора по информационным технологиям группы «Интерфакс».

[4] System Center Configuration Manager (ранее Systems Management Server, SMS) — продукт для управления IT-инфраструктурой на основе Microsoft Windows и смежных устройств.

[5] Security information and eventmanagement — система выявления событий информационной безопасности.

[6] Network traffic analysis — система анализа сетевого трафика.

[7] FQDN — имя домена, включает в себя имена всех родительских доменов иерархии DNS.

[8] MAC-адрес — уникальный идентификатор, присваиваемый каждой единице активного оборудования.

[9] Common Vulnerability Scoring System, CVSS — общая система оценки уязвимостей.

Смотрите также