Оцените свою внешнюю поверхность атаки

Оцените свою внешнюю поверхность атаки

Множество взломов за последние месяцы было через открытые наружу сервисы. Давайте посмотрим статистику, какие же сервисы у компаний открыты. А вдруг они открыты и у вас? )

По отчету компании Positive Technologies статистика открытых служб (включая нестандартные порты) выглядит так


Лично меня впечатляет, что в 26% организаций на узлах с внешними сетевыми интерфейсами открыт сетевой порт 445/TCP. Сколько угроз это открывает, страшно представить - это и распространение криптолокеров и проникновение по всей сети и вывод всего что можно через уязвимости в протоколах SMB и RPC.
В одной из организаций были выявлены открытый сетевой порт для подключения по протоколу Telnet и учетная запись Cisco:123456. Поразительное игнорирование основ информационной безопасности. Подобные простые пароли злоумышленники подбирают за считаные минуты, а получив доступ к сетевому оборудованию с правами соответствующей учетной записи — могут развить вектор нападения

Также компания Positive Technologies оценила и наличие уязвимых сервисов среди всех найденных служб. 

Остановка поддержки продукта означает окончание его безопасного функционирования - все найденные уязвимости никогда не будут исправлены. 58% среди найденных уязвимостей составили уязвимости позволяющие выполнить произвольный код. И это страшно.

По мнению Palo Alto Networtks самый частый открытый сервис - это RDP. В чем проблема с RDP. Множество взломов использует украденный логин и пароль, множество использует уязвимости RDP. Возможно вы сегодня пропатчились и у вас нет известных уязвимостей, но как только завтра появится новая уязвимость и публичный эксплойт - вас взломают за минуты. А есть ли защита у вас после того как злоумышленник уже в DMZ? А какая? Некоторые безопасники даже называют этот протокол как Ransomware Deployment Protocol, в связи с такой частотой его использования для атак на организации.
Следующая по частоте - открытые в паблик интерфейсы систем управления сетевых устройств.
Если спрятать эти системы управления за VPN - то вы серьезно снизите угрозы для бизнеса. Сделайте это, если у вас также.
И следующие по частоте открытые сервисы - аналитические системы и доступы к данным. Этих доступов вообще не должно быть в паблике. И тут даже не может быть каких-то оправданий к ИТ службе.
Ну и самое эпическое - это доступность систем контроля за зданиями из Интернет. Они относятся уже к АСУТП и их выставление наружу должно контролироваться однозначно. 
В общем делаем вывод, что ИТ службе нужно проверять не только ИТ, но и устройства Operation Technologies (OT).

Существует множество сервисов сегодня, которые позволяют посмотреть открытые наружу ресурсы. Например, ZoomEye


Не забываем про старый добрый Shodan , который показывает открытые сервисы. 

Ну и множество автоматизированных утилит, которые в общем-то ищутся по словам Attack Surface Management.

И естественно вы можете это делать сами сканером безопасности.

Основной вывод, который можно сделать на протяжении чтения подобных отчетов - организации не снижают свою поверхность атаки, а только расширяют. К ИТ система добавляют АСУТП системы, к системам с истекшей поддержкой добавляются все новые и новые и ими продолжают пользоваться.

И последнее, самое важное. Поверхность атаки - это не только то, что видит злоумышленник снаружи. Это то, что видят ваши сотрудники и ваши сетевые устройства изнутри. Если у вас нет правил на исходящие соединения, где контролируются подключения на известные центры управления бот-сетями, не проверяются файлы, которые они скачиваются на наличие вредоносного кода, не проверяется посещение зараженных сайтов, то ваша поверхность атаки по-прежнему очень большая. Проверяйте не только входящие соединение, но еще и исходящие - обязательно.


 

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ksiva

Пусть будет утренний в честь того, что я его создал утром.