Когда компания хочет узнать, насколько уязвима ее инфраструктура, она заказывает анализ защищенности от киберугроз. Наши коллеги из отдела сервисов безопасности ежегодно проверяют десятки компаний и иногда встречаются с довольно любопытными случаями. Разумеется, мы не имеем права раскрывать подробности о клиентах, однако соглашение о конфиденциальности не запрещает рассказывать о наиболее распространенных ошибках. Мы надеемся, что чужой опыт поможет вам сделать свою инфраструктуру более киберустойчивой.
Типичные ошибки
Исследуя способы нарушения периметра безопасности, наши коллеги собрали коллекцию типичных ошибок, из-за которых инфраструктура становится беззащитной в киберсреде. Вот они:
- Неадекватная сетевая фильтрация
- Публичный доступ к интерфейсам управления
- Слабые пароли учетных записей
- Уязвимости в веб-приложениях
На последний пункт стоит обратить особое внимание: в 73% тестов, проведенных нашими специалистами, именно уязвимости веб-приложений использовались для получения несанкционированного доступа к узлам внутри сетевого периметра. Вторая наиболее распространенная ошибка — свободный доступ к интерфейсам управления во всей сети. Иногда для получения доступа удается использовать логин и пароль, полученные с использованием других уязвимостей. В других случаях получается войти при помощи стандартных учетных данных, не измененных со времени изначальной установки. Также эффективны атаки перебором паролей и поиск учетных данных на других скомпрометированных узлах.
Еще одна распространенная проблема — недостаточно защищенный доступ к удаленно управляемым веб-интерфейсам (вроде контрольной панели администратора веб-приложения или системы CMS). Через них можно не только контролировать приложение, но и добраться до самой операционной системы.
Рекомендации
Чтобы оградить инфраструктуру от кибернападений, эксперты рекомендуют следующее.
- Задайте сильные пароли для административных учетных записей.
- Используйте разные аккаунты для разных систем.
- Своевременно обновляйте ПО до последних версий.
- Ограничьте сетевой доступ ко всем контрольным интерфейсам, включая веб-интерфейсы.
- Разрешите доступ только с ограниченного числа IP-адресов.
- Если вы абсолютно уверены, что вам необходим удаленный доступ, используйте VPN.
- Тщательно продумайте правила сетевой фильтрации, создания паролей и своевременного закрытия уязвимостей в веб-приложениях.
- Регулярно проводите анализ защищенности всех веб-приложений в открытом доступе.
- Наладьте автоматизированный процесс мониторинга уязвимостей и распространения исправлений.
- Проверяйте приложения после каждого изменения кода или перенастройки веб-сервера.
- Своевременно обновляйте все сторонние компоненты и библиотеки.
- Регулярно проверяйте, не используются ли в ваших системах учетные данные по умолчанию. Не забывайте о веб-приложениях, системах управления контентом и сетевых устройствах.
Больше технических подробностей, примеры тестирования на проникновение и статистические данные можно найти в нашем отчете «Анализ защищенности корпоративных информационных систем в 2017 году«, опубликованном на сайте Securelist.
Подробнее об анализе защищенности читайте на странице сервисов кибербезопасности.