11 января 2018

Почему ваши внутренние системы могут взломать и как этого избежать

Практически любой бизнес по мере роста обрастает внутренними системами: трекерами задач, файлообменниками, порталами помощи, базами знаний. Внедрение новых систем часто хаотично: заранее не планируется, бюджет не заложен и нужно срочно. Разработку таких систем не всегда решаются отдавать на аутсорс и передают собственным IT-подразделениям.

Результатом работы в сжатые сроки и с дефицитом бюджета и опытных кадров могут стать уязвимые с точки зрения безопасности системы. Этими уязвимостями могут воспользоваться злоумышленники.

Почему внутренние системы не охраняются

Требования устойчивости к кибератакам закладываются не всегда. Компании отказываются от работы над безопасностью не только из-за экономии сроков и бюджета. Существует мнение, что внутренним системам не нужна защита:

«Кто будет нас взламывать?»

Миф

Взломы - это происки конкурентов и месть бывших сотрудников. Если с конкурентами отношения не испорчены, а работники увольняются без конфликтов, список заинтересованных во взломе лиц сокращается до хакеров. А им «до нас нет дела, ведь у нас нечего красть». Нецелевой взлом зачастую воспринимается как что-то далёкое и маловероятное.

Реальность

Нецелевая (случайная) атака - сценарий, при котором злоумышленник атакует сотни и тысячи целей, но не пытается получить доступ к какому-то конкретному ресурсу.

Чтобы проверить, пытается ли кто-то получить несанкционированный доступ, посмотрите error.log вашего сайта или аналогичные лог-файлы роутера и файрволла любой компании.

Как только ошибка в системе (CMS, веб-сервере, FTP и т.д.) выходит в публику, киберпреступники сразу начинают ее использовать. Данные постоянно обновляются: на exploit-db ежемесячно публикуется около 200 эксплойтов, а на cve-details с публикуется в среднем около 8 000 уязвимостей различных систем.

Еще одна распространенная причина взлома — человеческий фактор: ошибки разработчиков, администраторов и пользователей. Чтобы воспользоваться такими ошибками, не обязательно обладать высокой квалификацией, иметь доступ к серьезным вычислительным мощностям или знать волшебное слово. Достаточно запроса google hacking в поисковую систему.

Why internal informational systems are hacked and how to avoid this_1.png

Иногда для получения пароля достаточно простого поискового запроса. После получения учетных записей сотрудников попасть в сеть компании и добраться до внутренних ресурсов не составит большого труда

Why internal informational systems are hacked and how to avoid this_2.png

Пример поискового запроса, который выдает ресурсы, на которых неправильно настроена обработка ошибок, что значительно упрощает атаку с помощью SQL-инъекций

«Наш ресурс доступен только из локальной сети»

Миф

Если сервис доступен только по локальной сети или VPN, его сложно взломать. Поэтому дополнительная защита ему не нужна.

Реальность

Подключиться к локальной сети большинства организаций не так сложно, как кажется. Точкой входа может стать любой доступный извне сетевой узел, например роутер или принтер.

Вспомните примеры заражения вирусами-вымогателями «WannaCry» в мае 2017 года. Тогда пострадали даже крупные организации, защищенность которых не ставилась под сомнения: немецкие железные дороги, британские больницы, французская промышленность.

Даже после того, как кибератака была разобрана в масс-медиа, компании не предприняли шагов для предотвращения подобных инцидентов в будущем. В июне началась новая волна заражения шифровальщиками «Petya» и «NotPetya», которые для своего распространения использовали всё те же ошибки марта 2017. Заражение одного компьютера вело к поражению большой части локальной сети в том числе потому, что за их безопасностью не следили - они же не подключены к интернету.

В любом случае, посещение локальных ресурсов и эксплуатация их уязвимостей является обязательной и неотъемлемой частью кибератаки.

Why internal informational systems are hacked and how to avoid this_3.png

Тысячи уязвимых принтеров HP с открытой панелью управления может погуглить любой пользователь

«О ресурсе знают только наши сотрудники»

Миф

Если компания не собирается афишировать запуск веб-сервиса, наличие системы безопасности не так критично.

Реальность

Даже если проект не будет разрекламирован, помните, что:

  1. Регистрация доменных имен отслеживается не только «парковщиками доменов», но и хакерами, так как атака на разрабатывающийся сервис имеет больше шансов на успех;
  2. На поддомене адрес можно угадать с помощью банального перебора или получить в результате эксплуатации уязвимостей DNS-серверов;
  3. Случайная огласка при переписке, упоминание в log-файлах и сотни других причин приводят к тому, что сервис всплывает в выдаче поисковых систем.

Как защитить внутренние сервисы компании

Уникального решения, которое бы предотвращало утечки информации, отражало сетевые атаки и давало при этом гарантии, не существует.

Есть масса универсальных советов:

  1. Отказ от простых паролей;
  2. Своевременная установка обновлений;
  3. Защита личных устройств сотрудников;
  4. Внедрения DLP и IPS систем;
  5. Закупка фаерволов и антивирусов.

На практике советы бесполезны, если сотрудники их не используют. Ни одна система защиты не сможет исключить человеческий фактор, а уменьшение его влияния на защищенность организации зависит от сотрудников.

Пока у персонала нет мотивации соблюдать элементарные меры предосторожности, «автоматика» бессильна. Самый простой вариант - повышать осведомленность сотрудников о киберугрозах в частности и информационной безопасности в целом.

Если разрабатываете внутренний сервис сами, помните, что подход «безопасность на потом» не сработает. Когда система запущена и работает, вопросами ее защищенности начинают заниматься только, когда реальный инцидент уже возник.

Как выйти из замкнутого круга

Закладывать требования к безопасности на этапе технического задания. Так безопасность внедряется как функциональность приложения, а не в качестве повинности.

Если в компании уже запущены десятки внутренних сервисов, разработанных без оглядки на безопасность, то в качестве первого шага советуем оценить текущее состояние информационной безопасности внутренних ресурсов, возможные риски и выработать комплекс мер по снижению возможного ущерба. Лучшим решением будет заказать аудит системы у специалистов и ежегодно повторять эту процедуру.

Понравилась статья?
Подпишитесь на рассылку SimbirSoft! Пришлём письма о лайфхаках в разработке, поделимся опытом управления командами и компанией, а также расскажем о новых ивентах SimbirSoft.

Другие статьи

Вебинар «Красиво vs Качественно. Какие метрики вашего бизнеса зависят от Frontend-разработки?»
12 марта 2024
На форуме Seymartec Energy эксперты SimbirSoft поделятся опытом использовании ИИ в энергетике
07 марта 2024
WMS для управления складом: что такое и как выбрать
07 марта 2024
Написать нам
Оставьте контакты, чтобы обсудить проект и условия
сотрудничества, или позвоните: 8 800 200-99-24
Прикрепить файл до 10Мб
Файл выбран
Можно прикрепить один файл в формате: txt, doc, docx, odt, xls, xlsx, pdf, jpg, jpeg, png.

Размер файла до 10 Мб.
Оставьте свои контакты
SimbirSoft регулярно расширяет штат сотрудников.
Отправьте контакты, чтобы обсудить условия сотрудничества.
Прикрепить резюме, до 10 Мб
Файл выбран
Можно прикрепить один файл в формате: txt, doc, docx, odt, xls, xlsx, pdf, jpg, jpeg, png.

Размер файла до 10 Мб.
Написать нам
Расскажите, какие задачи сейчас на вашем проекте.
Проконсультируем и предложим подходящих специалистов, а также сориентируем по ставкам на аутстаф.
Направление
Количество специалистов
Middle
TeamLead
Senior
TechLead
Прикрепить файл до 10Мб
Файл выбран
Можно прикрепить один файл в формате: txt, doc, docx, odt, xls, xlsx, pdf, jpg, jpeg, png.

Размер файла до 10 Мб.
Экспресс-консультация
Заполните все поля формы.
Эксперт свяжется с вами в течение рабочего дня.
Тематика
Прикрепить файл до 10Мб
Файл выбран
Можно прикрепить один файл в формате: txt, doc, docx, odt, xls, xlsx, pdf, jpg, jpeg, png.

Размер файла до 10 Мб.
Порекомендуйте друга — получите вознаграждение!
  • Middle Fullstack QA Engineer (Mobile)
  • Python-paзработчик
  • Java-разработчик
  • Angular-разработчик
  • Аккаунт-менеджер IT-проектов
  • Системный аналитик
  • QA Engineer Fullstack (Python)
  • C#-разработчик
  • Инженер по нагрузочному тестированию
  • Golang-разработчик
  • DevOps-инженер
  • 1С-аналитик
  • 1C QA Engineer
  • Юрист
  • Разработчик на C++
  • 1С-разработчик
  • DWH-разработчик
  • Разработчик Bitrix24
  • Data Scientist
  • Маркетолог
  • Менеджер по продажам IT SaaS
  • QA Engineer Fullstack (Java/Kotlin)
  • Бизнес-аналитик
  • Аналитик DWH
  • Team Lead Java
  • Специалист по адаптации персонала
  • Менеджер проектов 1С
  • Vue-разработчик
  • Руководитель отдела Backend
  • SDET (Java)
  • Менеджер по продажам IT продуктов на иностранное направление
  • Менеджер по продажам IT продуктов
  • IT сорсер
  • Team Lead Python
Прикрепить резюме, до 10Мб
Файл выбран
Можно прикрепить один файл в формате: txt, doc, docx, odt, xls, xlsx, pdf, jpg, jpeg, png.

Размер файла до 10 Мб.