5 главных ошибок, которые приводят к взломам инфраструктуры

Для хакера даже самая незначительная слабость информационной защиты — распахнутые ворота с подписью «Взломай меня». Эти слабости — следствие ошибок в безопасности, которые допускают и пользователи, и матёрые айтишники. В статье рассмотрим основные из них и поговорим о способах их избежать.

1. Ошибки в архитектуре.
2. Некорректная конфигурация.
3. Наличие уязвимостей.
4. Отсутствие средств защиты информации.
5. Человеческий фактор.

Денис Миринец

Тимлид команды Security Operations Center

Ошибки в архитектуре

Откуда берутся. Такие ошибки возникают, когда не учитываются требования к защите информации или не прорабатываются средства защиты (если инфраструктуру запускают в очень сжатые сроки). Другая причина — информационная система развивается не по сценарию, а хаотично. Например, её запустили пять лет назад, и потом навесили новый функционал, который изначально не запланировали.

Отсюда вытекают проблемы. Например, слабая сетевая изоляция. То есть хост, на котором поднят веб-сервер, оказывается доступен в интернете и находится в том же сегменте, где и остальные промышленные системы.

К чему приводят. Проникнув на фронтенд, хакер сможет получить доступ ко всем информационным системам сразу, даже к критичным. Там могут быть и контроллеры AD, и сервера с 1C.

Как сделать правильно. По-хорошему, фронтенд должен находиться в DMZ — это отдельная изолированная сеть. А бэкенд — в сервисной зоне. Также необходимо сделать сетевую изоляцию между VLAN — для затруднения продвижения злоумышленника по сети. И создавать доступы только с указанием конкретных IP адресов и портов (точка-точка).

В таком случае пределом злоумышленника станет возможность горизонтального перемещения только на те машины, которые находятся в текущем изолированном сегменте. Это позволит выиграть время. А в некоторых случаях — остановить дальнейшее распространение вглубь сети.

Для контроля сетевых доступов нужно проводить периодический аудит — то есть выгружать все правила, предоставляющие доступ, и проверять их на актуальность и необходимость, свериться с документацией по проекту. И убирать все лишние или слишком «широкие» правила. При таком аудите необходимо руководствоваться принципом «всё, что явно не разрешено, должно быть запрещено».

Некорректная конфигурация

Откуда берётся. Такая конфигурация может быть у серверов, когда предоставляется слишком широкий доступ. Или у внешнего сетевого периметра, когда в интернете оказываются узлы, которые там быть не должны. Во внутреннем периметре тоже могут быть ошибки, когда на межсетевых экранах изменяется конфигурация, и появляются несанкционированные сетевые доступы.

Бывает, в сетевом периметре есть внутренний сервис, который должен быть недоступен в интернете. Но на межсетевом экране проводили работы, либо некорректно написали правила, предоставляющие доступ, и этот хост стал доступен. Но так как его никто не планировал открывать, он неправильно сконфигурирован, на нём нет обновлений и средств защиты. Оказавшись в интернете, этот хост открыт по всем протоколам и портам, чем и пользуются хакеры.

Реальный случай. В филиалах организации из-за ошибок конфигурации в интернете оказались доступны роутеры. Так как это происходило в филиалах, у сетевиков не доходили руки, чтобы их правильно сконфигурировать.

К чему приводит. Хакеры смогут обнаружить доступные роутеры, зайти на оборудование и получить доступ к сети филиалов.

Как сделать правильно. Поможет только контроль. Необходимо на постоянной основе сканировать внешний сетевой периметр. Для этого есть опенсорсные и бесплатные инструменты, самый простой и распространённый — nmap.

Любой новый IP или порт, который появился на вашем внешнем периметре без согласования — это инцидент, с которым необходимо будет разобраться. В этом очень поможет логирование всех изменений/действий на сетевом оборудовании. При любом изменении информация будет записываться в лог, где отмечено кто, где и когда открыл доступ.

Необходимо также обеспечить долговременное хранение данной информации. Как показывает практика, минимум три месяца, желательно — шесть.

Для того чтобы обеспечить эти требования и оперативно выявлять подобные инциденты, обычно используют SIEM-систему. При передаче логов в систему она обеспечит оперативное уведомление по возникающим проблемам, позволит в удобном виде долговременно хранить информацию и осуществлять исторический поиск необходимых данных.

Наличие уязвимостей

Откуда берутся. В первую очередь, это, конечно, реальные уязвимости в используемом программном обеспечении, например, в веб-серверах Apache. Но иногда бывает, что на сайтах нет явных уязвимостей. Зато есть возможность проэксплуатировать проблему логики — сломать её и тем самым получить доступ к серверу. Например, через SQL-инъекции.

Уязвимости могут быть даже на уровне железа. Неважно, какая у вас операционная система, есть у вас защита или нет, можно проэксплуатировать уязвимость, например, на уровне процессора (уязвимости Spectre и Meltdown). Раньше это было чуть ли не за гранью фантастики, сейчас ситуация изменилась. В последние годы количество обнаруженных уязвимостей растёт в геометрической прогрессии. И многие из них критические.

К чему приводят. Если в строку запроса добавить особым образом сконфигурированный (вредоносный) SQL-запрос, то он поломает логику выдачи ответа базы данных и позволит, к примеру, извлечь из неё конфигурацию (Ip, логины, пароли и так далее), а также хранимые данные. Большинство утечек данных с различных сайтов как раз связаны с эксплуатацией веб-уязвимостей, одна из которых и есть SQL-инъекция.

Как сделать правильно. Для защиты веб-приложений применяется специальный класс решений — WAF (Web application firewall). Он позволяет блокировать или фильтровать некорректные/вредоносные запросы. Таким образом, атака злоумышленника будет заблокирована, не доходя до точки обработки.

Даже использование WAF не гарантирует 100% защиты, поэтому для разработки веб-приложений необходимо использовать методики безопасной веб-разработки. Информация по основным уязвимостям, методам эксплуатации, и правилам безопасной разработки описана в проекте OWASP TOP-10 (The Open Web Application Security Project).

Отсутствие средств защиты информации

Откуда берётся:

• нет проверки входящей почты (решения класса Secure Email Gateway) — так могут прислать вредонос или спам;
• нет Firewall — сегменты сети не разделены, всё открыто, значит, можно ходить где угодно;
• нет IPS — вредоносное ПО может свободно распространяться внутри сети;
• нет Proxy-сервера — пользователь может скачать вредоносный файл или на фишинговом ресурсе ввести свои данные;
• нет Web application firewall — на вашем сайте найдут и проэксплуатируют уязвимость;
• нет защиты от DDoS — ваш сайт могут положить конкуренты или хактивисты;
• нет антивируса — все пользователи в зоне риска и не защищены от вредоносов;
• нет VPN, и все подключаются к инфраструктуре как хотят — велика вероятность взлома/компрометации пароля.

Данный список можно продолжать сколько угодно, долго углубляясь более детально в инфраструктуру. Для каждого узкого направления в ИТ уже придумали средства защиты.

Даже если компания маленькая и не представляет серьёзного интереса для таргетированной атаки, она всегда интересна когда «бьют по площадям». Боты сканируют все уголки интернета без перерыва, ищут уязвимости, автоматически их эксплуатируют и получают доступ, который могут продать заинтересованным лицам, использовать в качестве ботнет сети, или для атаки на другие компании через вашу инфраструктуру.

Спамеры без остановок рассылают фишинговые и спамерские письма в надежде увести учётные данные пользователей или проникнуть на компьютер жертвы.

К чему приводит. Отсутствие средств защиты информации рано или поздно приведёт к инциденту.

Инциденты могут быть различными, всё зависит от того, какие цели ставил перед собой злоумышленник. До недавнего времени, наиболее актуальной целью было получение прибыли. Для этого чаще всего шифровали данные (непосредственно взламывая инфраструктуру или используя фишинговые письма) и требовали выкуп. Чуть реже переводили деньги из системы «Клиент-Банк».

Сегодня картина немного изменилась, и жертвы кибератак всё чаще сталкиваются с DDoS-атаками и сливами персональных данных. То есть скорее важен инфоповод, который бьёт по репутации компании.

Как сделать правильно. Для начала нужно развернуть и корректно настроить минимальные базовые средства защиты информации — антивирус, Firewall, почтовый шлюз. Далее идёт прямая зависимость от количества и типа используемых информационных систем, инфраструктуры. К примеру, если у компании есть сайт, то его следует защитить системами анти-DDoS и WAF.

При отсутствии бюджета на покупку известных решений стоит обратить внимание на опенсорсные проекты. Конечно, они не такие функциональные и требуют больше времени на тонкую настройку, но это лучше чем ничего!

Человеческий фактор

Откуда берётся:

• Изменение конфигурации. Это могут быть системные администраторы, сетевики, либо разработчики — те, кто обладает административными правами в системах. Изменяя настройки в соответствии со своими задачами, они не видят всей картины целиком или элементарно могут ошибиться. К примеру, такие изменения могут привести к отключению ограничений на Firewall, и тогда в интернет будет выставлен не один хост с определённым портом, а целиком вся подсеть по всем портам.
• Несогласованность действий. При отсутствии явно описанного процесса и конкретных ответственных при переводе из теста в продуктив, сервис может оказать не до конца сконфигурирован, настроен. Возможен переезд в прод тестовых данных, тестовых учётных записей и так далее.
• Непреднамеренные утечки логинов/паролей, токенов и другой информации. Нужно быть особенно внимательным и никогда не оставлять в коде (или конфигурации) жёстко зашитые логины/пароли, токены. Нередки случаи, когда действующие учётные данные оказывались на Github в общем доступе или в логах, выгруженных в общий доступ. Используя полученную информацию, злоумышленник может проникнуть в инфраструктуру, и выявить его в таком случае очень сложно.
• Использование одного пароля для нескольких ресурсов или слабых паролей. Это элементарное правило цифровой гигиены, о котором все знают, и которое продолжают регулярно нарушать. Нельзя использовать один пароль для всего. В идеале, конечно, нужна двухфакторная аутентификация.
• Фишинговые ресурсы и письма. Ещё крючок, о котором все знают, но на который продолжают попадаться. Он может привести как к утечке данных, так и реальным материальным потерям. Фишинговые письма и ресурсы выглядят практически как оригинал, и очень трудно заподозрить подделку.

К чему приводит. Человеческий фактор — это одна из самых больших проблем в области защиты информации, так как предугадать действия человека гораздо сложнее, чем кажется. В итоге необдуманные или случайные действия приводят к финансовым и репутационным потерям компании, утечкам коммерческой и персональной информации. Для крупных публичных компаний это может закончиться потерей доверия клиентов и полным разорением.

Как сделать правильно. В данном случае, может помочь только наличие и соблюдение регламентов в области информационной безопасности, проведение периодических занятий по повышению знаний в области защиты информации, использование средств защиты информации.