Уязвимости систем контроля доступа выделяются многими экспертами как одна из наиболее частых причин успешных кибератак. Действительно, уязвимая система контроля доступа позволяет не только получить нелегитимный доступ к защищенной системе, но и эскалировать привилегии – что приводит к наиболее деструктивным атакам и массированным утечкам. OWASP Top-10 также выделяет уязвимости механизмов авторизации как наиболее распространенные среди web-приложений.
Среди наиболее распространенных: слабости парольной политики и использование только одного фактора для аутентификации пользователя в системе, непроработанные механизмы авторизации и разделение прав внутри системы, эксплуатация уязвимостей ПО систем контроля доступа через использование не ожидаемых системой символов и внешних вызовов.
Эксплуатация уязвимостей контроля доступа хотя и частый, но не единственный успешный вектор атак. ИТ-инфраструктура в любой компании не бывает статичной. Каждое изменение в ней потенциально несет риск появления в инфраструктуре уязвимостей и недостатков, которые могут повлиять на критичные аспекты бизнеса или весь бизнес в целом.
Проблемные зоны имеет ИТ-инфраструктура организации любой отрасли экономики, обладающей как собственной ИТ-инфраструктурой, так и защищаемыми ресурсами в облачной инфраструктуре провайдера. И задача ИБ-экспертов находить и закрывать их ранее, чем они будут использованы для кибератаки злоумышленником.
При этом, по данным специалистов аналитического центра Anti-Malware, по итогам исследования отечественного рынка информационной безопасности в большинстве российских компаний не организована системная работа по обеспечению и контролю ИБ. В половине российских компаний выделенных специалистов и имеющихся средств хватает только на операционную деятельность, не предполагающую среднесрочное и долгосрочное планирование и контроль метрик. Лишь 48% компаний четко определяют планы развития ИБ-инфраструктуры. И до 27% организаций малого и среднего бизнеса не имеют в принципе выделенных ИБ-специалистов.
Также, помимо технических аспектов, угрозой для ИБ может быть и человеческий фактор, в частности использование слабых паролей. Задача экспертов ИБ – вовремя выявить и устранить уязвимости, пока они не будут использованы злоумышленниками.
Проверить, насколько ИТ-инфраструктура и процессы ИБ готовы к возможным взломам, можно путем контролируемого моделирования действий потенциальных злоумышленников, выявляя в процессе слабые места и потенциальные векторы атак.
«Для этого эксперты группы компаний Angara предлагают комплексную услугу анализа защищенности и тестирования на проникновение вашей ИТ инфраструктуры и веб-приложений. При выполнении анализа защищенности команда использует собственную методику, основанную на общепринятых стандартах анализа защищенности, таких как OSSTMM, PTES, OWASP, WASC и других, а также опыт, приобретенный в процессе выполнения аналогичных работ как на проектах, так и на тренировочных площадках. В ходе работ, помимо экспертно-аналитических действий, используются как коммерческие решения, зарекомендовавшие себя на рынке, так и собственные инструменты автоматизации», – поясняет Сергей Гилев, руководитель отдела анализа защищенности группы компаний Angara.
Анализ защищенности может проводиться для:
- внешнего периметра инфраструктуры,
- внутренней сети инфраструктуры,
- веб и мобильных приложений (как части всей информационной системы, так и как самостоятельной системы),
- беспроводных сетей.
Услуга актуальна как для компаний с масштабной ИТ-инфраструктурой и публичными интернет-сервисами, так и с меньшим количеством узлов, в том числе имеющих подключение к интранет сетям.
Для повышения качества анализа рынок предлагает несколько решений автоматизации тестирований на проникновение и имитации реальных атак на реальные активы без риска реального взлома. Это технологии:
- Automated Penetration Testing и Network Penetration Testing Tools – непрерывно выявляют инфраструктурные уязвимости и выполняют их этичную эксплуатацию.
- Breach and Attack Simulation (BAS) – реализуют имитацию кибератак и утечек данных безопасным для заказчика способом.
Эксперты группы компаний Angarа работают с решениями Pcysys и Cumulative данных классов.
«Также наша команда экспертов уделяет особое внимание проверке осведомленности работников о возможных атаках с применением социальной инженерии. При таком анализе оценивается, насколько велика вероятность того, что кто-то из сотрудников не станет причиной проникновения в инфраструктуру», – отмечает Сергей Гилев.
В ходе работ эксперты используют возможные человеческие слабости, чтобы заставить потенциальную жертву выполнить необходимые для несанкционированного проникновения действия. Сценарии атак могут быть разнообразными:
- Массовые фишинговые рассылки,
- Целевые точечные взаимодействия с ограниченной фокус-группой посредством корпоративной почты,
- Телефонные звонки,
- Атаки через соц. сети и мессенджеры,
- Подброс имитации флеш-накопителей.
Вдобавок к социотехническим проверкам могут быть проведены проверки устойчивости паролей корпоративных учетных записей к возможным онлайн- и оффлайн-атакам подбора паролей.
«В результате мероприятий анализа защищенности и тестирования на проникновение вы получите объективную картину состояния защищенности и устойчивости к возможным хакерским атакам, увидите возможные векторы атак на вашу инфраструктуру, получите экспертные рекомендации по устранению выявленных недостатков и уязвимостей, что может послужить аргументом для планирования дальнейших шагов по развитию ИБ в вашей компании», – заключает Сергей Гилев.
