В большинстве корпоративных сетей могут быть следы работы хакеров и соответствующие уязвимости
Мы решили обсудить ряд факторов, отрицательно влияющих на защищенность сетей в компании, — медленной установке патчей, невыполнении регламентов ИБ и отсутствии шифрования.
/ Unsplash / Clint Patterson
Ситуация с (не) безопасностью сетей
Сетевая инфраструктура компаний строится на корпоративных маршрутизаторах. Они подключают офисы друг к другу и облаку и отвечают за безопасность соединения. Однако порой с ними возникают сложности. Проблему с одним из таких устройств обнаружили специалисты китайской ИБ-компании Qihoo 360. По их словам, группа неизвестных хакеров использует уязвимость в механизме авторизации, чтобы следить за почтовым и FTP-трафиком.
Злоумышленники инжектируют вредоносный код в поле для ввода логина в панели управления роутера. Когда пользователь входит в систему, запускается особый скрипт, расположенный по адресу http://103.82.143.51:58172/vig/tcpst1. Оттуда загружается вредонос, который дает хакерам контроль над девайсом и доступ к корпоративной сети.
Злоумышленники следят за трафиком на портах 21, 25, 110 и 143 (для работы с протоколами FTP, SMTP, POP3 и IMAP) и собирают различные аутентификационные данные, передаваемые по сети в открытом виде. В перспективе их могут использовать для проведения более серьезных атак.
Свежие посты из нашего блога на Хабре:
К сожалению, компрометация данных в корпоративных сетях происходит гораздо чаще, чем того хотелось бы. По словам экспертов из Dell, за последний год 63% компаний столкнулись с утечкой из-за уязвимости в той или иной аппаратной платформе. При этом аналитики одной международной ИБ-компании говорят, что подозрительная активность (сокрытие трафика, подключение к TOR, проксирование) присутствует в сетях 97% организаций.
В чем причина
Долгая установка патчей. Чаще всего злоумышленники используют для взлома уже известные уязвимости ПО, с существующими корректирующими патчами. Подобные атаки успешны, поскольку в среднем организации тратят несколько месяцев на установку «заплаток».
Например, апдейт для роутеров, с которыми работает вышеупомянутая группа хакеров, был выпущен еще в середине февраля. Однако к сети все еще подключены 100 тыс. устройств без обновленной прошивки.
Отчасти задержка связана с недостатком квалифицированных кадров. Как пишет The New York Times, в 2021 году на рынке будет 3,5 млн незакрытых вакансий, связанных с информационной безопасностью. Для сравнения, в 2014 году эта цифра держалась на уровне одного миллиона. На скорость патчинга также влияет плохая автоматизация процессов. Есть компании, которые хранят информацию о необходимых патчах в Excel. Одна организация из Fortune 100 даже сформировала специальный отдел, заполняющий электронные таблицы инфомрацией об уязвимостях.
Невыполнение рекомендаций по ИБ. В список наиболее частых «просчетов» входят: запуск неизвестных файлов, полученных по электронной почте, и переходы на подставные сайты. Поэтому сегодня фишинг является причиной 91% всех кибератак.
Отсутствие шифрования данных. Незашифрованная передача ПД открывает дополнительные векторы атаки для злоумышленников. Учитывая, что 95% корпоративных сетей были хотя бы раз скомпрометированы, объем украденной информации не поддается измерению. Но все утечки ПД из компаний Fortune 500 уже называют «крупнейшей передачей собственности» в истории.
Как можно исправить ситуацию
В первую очередь эксперты по информационной безопасности рекомендуют руководителям проводить курсы базовой кибергигиены как для рядовых сотрудников, так и ИТ-специалистов. Чтобы знания лучше усваивались, можно прибегнуть к методам геймификации. PWC Australia уже проводит среди клиентов игру Game of Threats, симулирующую сценарии реальных кибератак. В ней команда хакеров атакует сетевую инфраструктуру, а команда защитников старается им помешать.
/ Unsplash / Clint Patterson
Аналитики из Ponemon Institute и ServiceNow говорят, что 48% компаний могли избежать утечек в прошлом, если бы вовремя пропатчили ту или иную систему (стр. 5). Своевременная установка патчей усложняет работу злоумышленников и закрывает критические векторы атак. Поэтому ИБ-специалисты рекомендуют автоматизировать процесс обновления программного обеспечения, когда система сама скачивает и устанавливает патчи из интернета. Сисадминам остается лишь следить за их корректной работой.
Пара материалов из нашего корпоративного блога на сайте VAS Experts:
