Какие устройства в вашей сети наиболее уязвимы?

Кибератаки на серверы и настольные компьютеры хорошо изучены командами ИБ, а методология защиты от них детально проработана. Гораздо сложнее обстоит дело с «незаметными» устройствами: маршрутизаторами, принтерами, медицинской техникой, камерами видеонаблюдения и другими приборами. А между тем они нередко подключены к общей сети организации наравне с серверами и рабочими машинами. Какие из этих устройств требуют первоочередного внимания ИБ-службы и какие факторы риска являются ключевыми в каждом случае, пытались разобраться авторы исследования «Riskiest connected devices 2024».

Они проанализировали более 19 миллионов устройств: рабочих компьютеров, серверов, IoT-девайсов, специализированной техники для медицины и промышленности. Для каждого экземпляра устройства была вычислена степень риска по десятибалльной шкале, учитывающая наличие известных и эксплуатируемых уязвимостей, активность открытых портов, доступных из Интернета, наличие вредоносного трафика с устройства или на устройство. Дополнительно учитывается важность устройства для организации и возможность критических последствий при его компрометации. Вот какие устройства чаще всего оказывались уязвимыми и подверженными высоким рискам по мнению исследователей.

Беспроводные точки доступа, маршрутизаторы и межсетевые экраны

Два первых места в топе устройств с самым высоким уровнем риска в офисной сети уверенно заняли сетевые устройства. Маршрутизаторы, как правило, доступны из Интернета, при этом на многих из них открыты управляющие порты и сервисы, удобные для эксплуатации злоумышленниками: SSH, Telnet, SMB, а также узкоспециализированные проприетарные сервисы управления. За последние годы злоумышленники научились эффективно эксплуатировать уязвимости в этом классе техники, особенно в ее интерфейсах администрирования. Примерно так же обстоит дело и с межсетевыми экранами, тем более что для небольших компаний эти две функции часто объединены в одном устройстве. Точки доступа имеют небезопасные настройки даже чаще маршрутизаторов, но ситуацию немного смягчает то, что для их компрометации нужно находиться поблизости от устройства. Вектором первоначальной атаки обычно становится гостевая сеть Wi-Fi или выделенная сеть для мобильных устройств.

Принтеры

Хотя случаев эксплуатации принтеров хакерами не так много, они почти всегда резонансные. Факторы риска, связанные с принтерами, таковы:

• они часто подключены напрямую к офисной сети и одновременно к центральным серверам производителя, то есть к Интернету;
• они часто работают в стандартной конфигурации со стандартными паролями, что дает возможность потенциальному злоумышленнику просматривать задачи на печать, удалять, добавлять новые и так далее, без необходимости эксплуатации каких-либо уязвимостей;
• они обычно лишены средств защиты информации и часто для организации доступности со всех компьютеров организации вносятся администраторами сети в списки разрешенных исключений (allowlists) межсетевых экранов;
• скорость публикации обновлений для их ПО невысока, а скорость их установки клиентами еще ниже — так что опасные уязвимости в ПО принтеров могут оставаться эксплуатируемыми и полезными атакующим годами;
• к категории «принтеры» относятся не только сетевые МФУ, но и узкоспециализированные устройства вроде принтеров этикеток и чеков. Последние часто напрямую подключены к кассовым терминалам и привилегированным компьютерам, обрабатывающим важную финансовую информацию;
• принтеры являются излюбленной мишенью хактивистов и банд ransomware, поскольку взлом принтера можно сделать очень заметным и зрелищным, напечатав тысячи копий письма с угрозами.

Устройства интернет-телефонии (VoIP) и IP-камеры видеонаблюдения

Как и принтеры, устройства этих категорий редко обновляются, очень часто доступны из Интернета, не имеют встроенных СЗИ и регулярно используются со стандартными, небезопасными настройками.

Кроме общих для всей техники рисков, связанных с компрометацией устройства и дальнейшим перемещением хакеров по сети, уникальными рисками здесь являются возможность наблюдения атакующими за охраняемыми объектами, прослушивания переговоров по VoIP или использования VoIP-телефонии для мошеннических действий от имени атакованной организации. Для этого не требуется даже эксплуатировать уязвимости, достаточно неверной конфигурации или стандартных паролей.

Автоматические диспенсеры лекарств и инфузионные насосы

Первые нишевые устройства в хит-параде — автоматические диспенсеры лекарств и цифровые инфузионные насосы, компрометация которых может серьезно нарушать деятельность больниц и влиять на здоровье людей. По мнению исследователей, высокие риски создают случаи, когда подобные устройства не защищены от внешних подключений, — в конце 2022 года было обнаружено 183 публично доступных интерфейса управления такими устройствами, а к концу 2023 года их число выросло до 225. При этом для критического инцидента, влияющего на лечение пациентов, необязательно глубоко компрометировать эти устройства, достаточно спровоцировать отказ в обслуживании или отключение от телекоммуникационной сети. Подобные ситуации возникали при реальных атаках вымогательской группировки LockBit на медицинские учреждения. Другой риск — злонамеренное изменение дозировки лекарств, которое возможно как из-за многочисленных уязвимостей в устройствах, так и по причине небезопасных настроек. В некоторых госпиталях это может сделать даже пациент, просто подключившись к Wi-Fi больницы.

Как защитить уязвимое оборудование в своей организации

• Отключить на оборудовании все ненужные сервисы и ограничить доступ к нужным. Панели управления и служебные сервисы должны быть доступны только с административных компьютеров из внутренней подсети. Это правило критически важно для сетевого оборудования и любой техники, доступной из Интернета.
• Сегментировать сеть, создав разделение между офисной, производственной и административной сетями. Убедиться, что из Интернета или общедоступной для сотрудников офисной сети невозможно обратиться к устройствам IoT и другим изолированным ресурсам.
• Использовать уникальные и сложные пароли для каждого администратора, по возможности — с многофакторной аутентификацией (MFA). Использовать уникальные пароли для каждого пользователя, обязательно применять MFA при доступе к важным ресурсам и оборудованию.
• Если устройство не поддерживает достаточно строгой аутентификации и MFA, можно изолировать его в отдельную подсеть и установить контроль доступа с MFA на уровне сетевого оборудования.
• Поставить в приоритет быстрое обновление прошивок и ПО на сетевом оборудовании.
• Детально изучить настройки техники, связанные с сетью и безопасностью, сменить стандартные настройки, если они недостаточно безопасны, отключить встроенные стандартные учетные записи и возможность доступа без пароля.
• Изучить руководство маршрутизатора/роутера по улучшению безопасности (харденингу), при его отсутствии поискать рекомендации авторитетных международных организаций.
• При закупках принтеров, МФУ и подобных устройств изучить штатные возможности по улучшению безопасности печати. Некоторые корпоративные модели поддерживают зашифрованный режим обмена информацией secure print, некоторые способны автоматически обновлять свои прошивки, а также экспортировать события в SIEM-систему для комплексного ИБ-мониторинга.
• Внедрить в организации комплексную систему безопасности, включающую EDR и комплексный мониторинг сети на базе SIEM.