Назад до списку статей
Антон Свінціцький,
керівник відділу консалтингу
АТ ДиалогНаука
При проведенні аналізу стану інформаційної безпеки ІТ-інфраструктури дуже часто виявляються множинні уразливості, усунення яких істотно не відбивається на загальному рівні захищеності інформації, так як недостатньо усунути виявлені вразливості, необхідно скоригувати існуючі процеси забезпечення інформаційної безпеки і впровадити ефективні механізми контролю.
Класифікація вразливостей
Говорячи про уразливість в ІТ-інфраструктурі компанії, зазвичай розглядають такі види вразливостей:
- технологічні або архітектурні - відсутність певних механізмів, технологій забезпечення інформаційної безпеки;
- організаційні - відсутність задокументованих вимог, процесів забезпечення інформаційної безпеки;
- експлуатаційні - уразливості, пов'язані з недоліками в існуючих компонентах ІТ-інфраструктури.
Будь-який вибраний підхід до класифікації виявлених вразливостей повинен бути формалізований у внутрішніх документах компанії, наприклад, можна взяти за основу підхід, описані в російському стандарті ГОСТ P 56546-2015 «Захист інформації. Уразливості інформаційних систем ». Можна також використовувати такі параметри для класифікації вразливостей з метою пріоритетності завдань по їх усуненню:
- критичність компоненти ІТ-інфраструктури, на яких присутня дана уразливість;
- критичність уразливості;
- потенційні наслідки;
- наявність технологій, що дозволяють експлуатувати виявлену уразливість.
Типові уразливості 2014-2015
В рамках робіт з аналізу ІТ-інфраструктури, проведення тестувань на проникнення і аудитів інформаційної безпеки можна виділити наступні найбільш часто зустрічаються уразливості:
експлуатаційні уразливості:
1) Несумісні версії операційних систем і системного програмного забезпечення (MS Windows XP, MS Windows Server 2003 PHP). Уразливості даного типу можуть привести до відмови в обслуговуванні, виконання довільного коду і / або розкриття інформації, що захищається.
2) Уразливості веб-серверів (наприклад, Apache HTTP Server), що дозволяють атакуючому провести атаку на відмову в обслуговуванні або виконати довільний код у вразливою системі.
3) Використання небезпечних протоколів управління (наприклад, telnet). Даний клас вразливостей в більшості випадків дозволяє потенційному зловмиснику перехопити передану аутентифікаційні інформацію і отримати доступ до уразливому хосту. Для перехоплення аутентификационной інформації необхідно або перебувати на шляху проходження переданої аутентификационной інформації, наприклад, мати доступ до обладнання провайдера або каналу зв'язку, або перенаправити трафік на себе, наприклад, за допомогою атак класу ARP Spoofing (локально) атак на мережеві протоколи маршрутизації або DNS ( віддалено).
4) Використання небезпечних протоколів SSL і TLS може привести до перехоплення переданої аутентификационной інформації.
5) Слабкі паролі WPA / WPA2-PSK. Дані уразливості можуть привести до отримання несанкціонованого доступу до бездротової мережі, а також до перехоплення інформації, що передається по незахищених протоколів всередині бездротової мережі.
6) Використання протоколу розпізнавання імен NetBIOS через TCP / IP (NBNS) і LLMNR може привести до перехоплення переданої аутентификационной інформації (паролів, хешів паролів і т. Д.) Між Windows хостами.
7) Міжсайтовий скриптинг (XSS). Уразливість класу Cross Site Scripting існує через недостатню екранування спецсимволов, виведених веб-додатком. Віддалений зловмисник може виконати ворожий JavaScript код в контексті уразливого домену і обійти існуючі обмеження і перехопити сесійний інформацію легітимного користувача сервісів, розташованих в даному домені. Впровадження JavaScript коду можливо будь-яким доступним в конкретному випадку способом: на мережевому рівні або за допомогою атак соціальної інженерії.
організаційні уразливості:
1) Відсутність контролю за процесами «Управління конфігураціями», «Управління змінами», «Управління оновленнями». Відсутність контролю над цими процесами забезпечення інформаційної безпеки може привести до виникнення нових експлуатаційних вразливостей в ІТ-інфраструктурі.
2) Атаки через контрагентів і підрядних організацій. Дуже часто компанії віддають на аутсорсинг окремі сервіси, такі як підтримка інформаційних систем або адміністрування мережевої частини ІТ-інфраструктури. У таких випадках, отримуючи несанкціонованих доступ до корпоративних інформаційних систем підрядників, потенційний зловмисник може через такого підрядника встановити програми віддаленого управління в мережу, що захищається, а в подальшому використовувати технології прихованих каналів (наприклад, DNS covert channel) для управління і передачі інформації конфіденційного характеру на контрольовані їм сервера.
технологічні уразливості:
1) Можливість підключення корпоративних пристроїв до незахищених гостьових сегментам бездротових мереж компанії. При використанні корпоративних пристроїв в гостьових сегментах бездротових мереж атакуючий може перехопити аутентифікаційні інформацію і отримати несанкціонований доступ до інформації, що захищається інфраструктурі та інформації конфіденційного характеру.
2) Неконтрольовані інформаційні потоки. Основний канал витоку інформації, що захищається легітимними користувачами - використання зовнішніх запам'ятовуючих пристроїв і зовнішніх сервісів обміну інформацією (пошта, файлові сховища). Також приносячи зовнішні накопичувачі і підключаючи їх до корпоративної інформаційної системи підвищується ризик зараження шкідливим програмним забезпеченням.
Усунення виявлених вразливостей
При реалізації заходів щодо усунення виявлених вразливостей в першу чергу необхідно розглядати можливість установки оновлень від виробників програмного забезпечення, що усувають виявлені експлуатаційні уразливості.
Якщо відсутня можливість поновлення або оновлення програмного забезпечення не усуває виявлену уразливість, то в залежності від обраних параметрів класифікації вразливостей (критичності уразливості, потенційно можливих наслідків від її реалізації) повинні бути обрані додаткові заходи забезпечення інформаційної безпеки.
При виборі додаткових заходів забезпечення інформаційної безпеки потрібно виходити з таких основних передумов:
- додаткові заходи повинні в першу чергу ставитися до процесів забезпечення інформаційної безпеки, а не до усунення конкретної проблеми;
- додаткові заходи повинні в першу чергу бути спрямовані на контроль стану інформаційної безпеки;
- засоби захисту інформації, що реалізують додаткові заходи, повинні бути спрямовані не тільки на автоматизацію процесів забезпечення інформаційної безпеки, але повинні здійснювати функції контролю;
- реалізація додаткових заходів не повинна привносити в захищається систему додаткових вразливостей.
Порядок вибору додаткових заходів відображений на малюнку
Усунення типових виявлених вразливостей
Для усунення типових вразливостей в більшості випадків необхідно реалізувати наступний комплекс заходів:
1) Управління конфігураціями. Конфігурація компонентів ІТ-інфраструктури, в тому числі засобів захисту інформації, повинні відповідати вимогам корпоративної політики інформаційної безпеки. З боку відповідальних за забезпечення інформаційної безпеки повинні здійснюватися заходи щодо контролю конфігурацій компонентів на періодичній основі.
2) Управління оновленнями. Відповідальні за забезпечення інформаційної безпеки повинні відстежувати і контролювати необхідність установки оновлень як загальносистемного програмного забезпечення, так і прикладного програмного забезпечення.
3) Управління змінами. Внесення істотних змін в інформаційні системи повинно супроводжується тестуванням реалізованих механізмів інформаційної безпеки. Суттєвими змінами можуть вважатися: зміни мажорній версії системи або її компоненти, зміни, що стосуються архітектури системи, зміни складу або функціоналу засобів захисту інформації та інші.
4) Управління уразливими (в тому числі відстеження нових вразливостей і оцінка застосовності атак, спрямованих на експлуатацію такої вразливості в існуючій ІТ-інфраструктурі). Необхідно визначити причини неефективності існуючого в даний момент в компанії процесу управління уразливими. Внести відповідні зміни в документи, що формалізують порядок реалізації та контролю процесу. Застосування підходу, пов'язаного з оцінкою ризиків, пов'язаних з впливом на ІТ-інфраструктури через виявлені вразливості і наслідками від таких впливів.
висновок
Виявлення вразливостей - періодичний процес, частота повторення якого повинна залежати як від критичності оброблюваної в ІТ-інфраструктурі інформації, так і від особливостей самої інфраструктури. Усунення виявлених вразливостей - це процес постійного вдосконалення системи забезпечення інформаційної безпеки, реалізація якого дозволить як усунути існуючі уразливості, так і знизити ймовірність виникнення нових.