Почему ваши внутренние системы могут взломать и как этого избежать

Почему ваши внутренние системы могут взломать и как этого избежать


Автор
Георгий
Георгий
Специалист по информационной безопасности

Практически любой бизнес по мере роста обрастает внутренними системами: трекерами задач, файлообменниками, порталами помощи, базами знаний. Внедрение новых систем часто хаотично: заранее не планируется, бюджет не заложен и нужно срочно. Разработку таких систем не всегда решаются отдавать на аутсорс и передают собственным IT-подразделениям.

Результатом работы в сжатые сроки и с дефицитом бюджета и опытных кадров могут стать уязвимые с точки зрения безопасности системы. Этими уязвимостями могут воспользоваться злоумышленники.

Почему внутренние системы не охраняются

Требования устойчивости к кибератакам закладываются не всегда. Компании отказываются от работы над безопасностью не только из-за экономии сроков и бюджета. Существует мнение, что внутренним системам не нужна защита:

«Кто будет нас взламывать?»

Миф
Взломы - это происки конкурентов и месть бывших сотрудников. Если с конкурентами отношения не испорчены, а работники увольняются без конфликтов, список заинтересованных во взломе лиц сокращается до хакеров. А им «до нас нет дела, ведь у нас нечего красть». Нецелевой взлом зачастую воспринимается как что-то далёкое и маловероятное.

Реальность
Нецелевая (случайная) атака - сценарий, при котором злоумышленник атакует сотни и тысячи целей, но не пытается получить доступ к какому-то конкретному ресурсу.

Чтобы проверить, пытается ли кто-то получить несанкционированный доступ, посмотрите error.log вашего сайта или аналогичные лог-файлы роутера и файрволла любой компании.

Как только ошибка в системе (CMS, веб-сервере, FTP и т.д.) выходит в публику, киберпреступники сразу начинают ее использовать. Данные постоянно обновляются: на exploit-db ежемесячно публикуется около 200 эксплойтов, а на cve-details с публикуется в среднем около 8 000 уязвимостей различных систем.

Еще одна распространенная причина взлома — человеческий фактор: ошибки разработчиков, администраторов и пользователей. Чтобы воспользоваться такими ошибками, не обязательно обладать высокой квалификацией, иметь доступ к серьезным вычислительным мощностям или знать волшебное слово. Достаточно запроса google hacking в поисковую систему.



15-1.png
Иногда для получения пароля достаточно простого поискового запроса. После получения учетных записей сотрудников попасть в сеть компании и добраться до внутренних ресурсов не составит большого труда.


15-1.png
Пример поискового запроса, который выдает ресурсы, на которых неправильно настроена обработка ошибок, что значительно упрощает атаку с помощью SQL-инъекций

«Наш ресурс доступен только из локальной сети»

Миф
Если сервис доступен только по локальной сети или VPN, его сложно взломать. Поэтому дополнительная защита ему не нужна.

Реальность
Подключиться к локальной сети большинства организаций не так сложно, как кажется. Точкой входа может стать любой доступный извне сетевой узел, например роутер или принтер.

Вспомните примеры заражения вирусами-вымогателями «WannaCry» в мае 2017 года. Тогда пострадали даже крупные организации, защищенность которых не ставилась под сомнения: немецкие железные дороги, британские больницы, французская промышленность.

Даже после того, как кибератака была разобрана в масс-медиа, компании не предприняли шагов для предотвращения подобных инцидентов в будущем. В июне началась новая волна заражения шифровальщиками «Petya» и «NotPetya», которые для своего распространения использовали всё те же ошибки марта 2017. Заражение одного компьютера вело к поражению большой части локальной сети в том числе потому, что за их безопасностью не следили - они же не подключены к интернету.

В любом случае, посещение локальных ресурсов и эксплуатация их уязвимостей является обязательной и неотъемлемой частью кибератаки.


15-1.png

Тысячи уязвимых принтеров HP с открытой панелью управления может погуглить любой пользователь

«О ресурсе знают только наши сотрудники»

Миф
Если компания не собирается афишировать запуск веб-сервиса, наличие системы безопасности не так критично.

Реальность
Даже если проект не будет разрекламирован, помните, что:

  1. Регистрация доменных имен отслеживается не только «парковщиками доменов», но и хакерами, так как атака на разрабатывающийся сервис имеет больше шансов на успех;
  2. На поддомене адрес можно угадать с помощью банального перебора или получить в результате эксплуатации уязвимостей DNS-серверов;
  3. Случайная огласка при переписке, упоминание в log-файлах и сотни других причин приводят к тому, что сервис всплывает в выдаче поисковых систем.


Как защитить внутренние сервисы компании

Уникального решения, которое бы предотвращало утечки информации, отражало сетевые атаки и давало при этом гарантии, не существует.

Есть масса универсальных советов:

  1. Отказ от простых паролей;
  2. Своевременная установка обновлений;
  3. Защита личных устройств сотрудников;
  4. Внедрения DLP и IPS систем;
  5. Закупка фаерволов и антивирусов.

На практике советы бесполезны, если сотрудники их не используют. Ни одна система защиты не сможет исключить человеческий фактор, а уменьшение его влияния на защищенность организации зависит от сотрудников.

Пока у персонала нет мотивации соблюдать элементарные меры предосторожности, «автоматика» бессильна. Самый простой вариант - повышать осведомленность сотрудников о киберугрозах в частности и информационной безопасности в целом.

Если разрабатываете внутренний сервис сами, помните, что подход «безопасность на потом» не сработает. Когда система запущена и работает, вопросами ее защищенности начинают заниматься только, когда реальный инцидент уже возник.

Как выйти из замкнутого круга

Закладывать требования к безопасности на этапе технического задания. Так безопасность внедряется как функциональность приложения, а не в качестве повинности.

Если в компании уже запущены десятки внутренних сервисов, разработанных без оглядки на безопасность, то в качестве первого шага советуем оценить текущее состояние информационной безопасности внутренних ресурсов, возможные риски и выработать комплекс мер по снижению возможного ущерба. Лучшим решением будет заказать аудит системы у специалистов и ежегодно повторять эту процедуру.

Почувствуйте наш подход и повторите
успех наших клиентов

Напишите нам
МАКСИМ БЕЛЯКОВ
МАКСИМ БЕЛЯКОВ
СЕРГЕЙ ИСАКОВ
СЕРГЕЙ ИСАКОВ