Захист периметра: старі атаки не гірше нових



Зовнішні загрози інформаційної безпеки, як правило, асоціюються з хакерськими атаками на мережевий периметр, включаючи складні цільові атаки на великі компанії і державні структури (APT). Недавній приклад — злом Equation Group з подальшою публікацією частини їх інструментарію щодо подолання мережевого периметра. Як виявилося, багато експлойти з цього набору використовували давно відомі уразливості, хоча «вишенькою на торті» був 0-Day для SNMP-сервісів (абревіатура від "Security Not My Problem"). На жаль, у нас немає повного набору злитих експлойтів, щоб цілком оцінити масштаб лиха. Однак ми можемо використовувати підхід від зворотного – оцінити ступінь захищеності корпоративних периметрів на основі реальної статистики їх вразливостей.

Одне з таких досліджень було представлено на конференції PHDays VI в нашому традиційному збірнику Positive Research 2016. У вибірку увійшло близько 10.000 доступних адрес і 15.000 вразливостей, період дослідження – два роки (2014-2015). Однак треба уточнити, що дослідження проводилося тільки для мережевих периметрів безпеки рівень вище середнього: тобто розглядалися тільки компанії, де налагоджені процеси інвентаризації активів та управління вразливостями (що власне і дозволяє збирати статистику).

Почнемо з самої гострої теми в опублікованому експлойт-паку: SNMP 0-Day. Чи Актуальна ця загроза? Наше дослідження показує, що так. Ось кілька причин такої ситуації:

  • Аналіз з використанням honeypot-систем показує, що сервіси SNMP дуже популярні у потенційних зловмисників – про доступність цих сервісів вже знає широке коло хакерів. А хто ще не знає, без складнощів можуть дізнатися через Shodan.

  • SNMP-сервісів дуже багато, вони доступні на більшості сучасних мережевих інфраструктур. Зокрема, ми вже розповідали, що експлуатація вразливостей SNMP дозволяє проникнути в технологічні мережі операторів зв'язку.

  • Багато SNMP-сервіси працюють на застарілих версіях. Згідно з нашим дослідженням, в категорії DNS, NTP і SNMP-сервісів кожен десятий — вразливий:


Виходячи з цієї статистики, можна однозначно оцінити опублікований експлойт: він дуже небезпечний і може бути використаний для подолання мережевого периметра багатьох організацій.

Однак залишається інше цікаве питання. Чому в інструментарії Equation Group, який голосно названий «повним державним набором кіберзброї», виявилося безліч експлойтів для старих вразливостей, включаючи такі, для яких оновлення безпеки випущені понад 5 років тому? Здавалося б, така крута хакерське угруповання повинна активніше використовувати нові, невідомі уразливості.

Відповідь парадоксально простий, якщо правильно переформулювати питання: а навіщо хакерських груп витрачати свій дорогоцінний час на 0-Days, якщо значна частина систем, доступних через Інтернет, не оновлювалися роками?

Наше дослідження показало, що три чверті всіх виявлених вразливостей — старше одного року, 30% вразливостей — старше 5 років, а практично кожна десята вразливість могла бути виправлена 10 років тому. За досліджуваний часовий інтервал уразливості були виявлені на 37% систем.


По кліку картинка відкриється в повному розмірі

Таким чином, для успішного проведення атаки немає потреби у використанні новітніх вразливостей: старі відмінно підійдуть. Вони дешевші, так і хакерської групи розкрити інформацію про експлуатації старої вразливості — менш критично, ніж «засвітити» 0-Day.

Але поки ми розглянули тільки ситуацію з експлойта в закритому інструментарії. А чи підійдуть експлойти від старих вразливостей з відкритих джерел, скажімо, з MSF? Для відповіді на це питання ми вибрали уразливості зі значеннями CVSS «High», доступні на початок періоду дослідження в досліджуваних системах, і зіставили їх з відомими експлойт-паками.


З цієї статистики видно, що на периметрах досліджених компаній зустрічаються уразливості, експлуатація яких цілком можлива з допомогою публічних експлойтів. Однак ця вибірка містить невеликий набір вразливостей. Дійсно це означає, що їх мало? Як ми говорили раніше, вибірка за вразливостей на попередньому зображенні була зроблена тільки на початковий період дослідження, а рівень захищеності периметра ніколи не залишається однаковим. Динаміку змін за два роки наочно показують наступні графіки:


По кліку картинка відкриється в повному розмірі

Отже, резюме: для подолання периметрів, рівень захищеності яких оцінюється вище середнього, не потрібно якихось експлойтів з закритих джерел, і тим більше таємних знань APT-груп по використанню власних 0-Day. Достатньо стандартного інструментарію.

Як захищатися
З урахуванням зроблених висновків, ми виділяємо наступні основні напрямки для підвищення загального рівня захищеності мережевого периметра:

  1. Постійний контроль мережевого периметра компанії, результатом якого має бути оперативне виявлення сервісів, розташованих на периметрі і доступних мережі Інтернет.

  2. Автоматизований пошук вразливостей в сервісах, розташованих на периметрі. Результатом має бути виявлення вразливостей і контроль їх усунення.

  3. Усунення зайвих сервісів, необхідність розміщення яких на периметрі не обумовлена ніякої об'єктивної необхідністю. До цих категорій сервісів можуть ставитися NTP, SNMP, сервіси СУБД, адміністративні інтерфейси та інші категорії потенційно небезпечних сервісів.

  4. Впровадження політики патч-менеджменту, при цьому в першу слід приділити увагу системам c уразливими, для яких існують експлойти у відкритому доступі, а також найбільш вразливим систем. Інші системи слід оновлювати відповідно до пріоритезації критичності систем і вразливостей.

  5. Використання комплексного підходу до ІБ. Забезпечення безпеки мережевого периметра є основою забезпечення ІБ, однак периметр — не єдиний вектор проникнення зловмисника в інфраструктуру компанії.
Повну версію звіту про рівні захищеності корпоративних периметрів можна знайти на тут
Автор: Володимир Лапшин, керівник відділу моніторингу інформаційної безпеки Positive Technologies
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.