Наличие уязвимостей, ошибок, открытых «дыр» на серверах компаний открывает мошенникам множество возможностей. Достаточно одной пропущенной ошибки, чтобы организация потеряла не только деньги, но и свою репутацию. А регуляторы могут не только ее оштрафовать, но и приостановить ее деятельность. Из информации Solar JSOC «Ростелекома» следует, что в 90% удачных кибератак именно уязвимости используются злоумышленниками.
Внутриорганизационные ресурсы тоже имеют немало ошибок. Специалисты утверждают, с ними происходит свыше 45% атак от общего их числа.
В основном хакеры работают с уязвимостями массовых программ: протоколов ОС, прикладного ПО, RDP, SSH, SMB, серверов Apache, Nginx. Многие из программных продуктов связаны с миллионами приборов, а кибератаки на них принимают глобальное направление.
Именно такая ситуация сложилась в 2017 г. с уязвимостью протокола SMB. Использование ее привело к тому, что были распространены вирусы Not Petya и Wanna Cry. И даже по истечению трех лет во всем мире уязвимость так и остается открытой на свыше 1 700 000 серверах. В России это число превышает 266 000. Кибермошенники и дальше продолжают находить слабые стороны. За два последних года CVE (мировая база данных) стала больше на свыше 24 000 выявленных уязвимостей.
Как отыскать сетевые «прорехи»?
Специально для этой цели предусмотрено два главных подхода: сканирование и пентест (тест на проникновение). Различие между процессами заключается в фокусе проводимых работ. Пентестер позволяет воссоздать действия мошенников, попытаться попасть в систему и там закрепиться. При сканировании определяется весь масштаб проблемы. Эксперт по тестированию интересуется наиболее слабыми моментами, тогда как эксперт по сканированию не пропускает ничего.
И первый, и второй способы исследований являются затратными. Финансы требуются не только на закупку специального оборудования, но и на высококвалифицированных специалистов, способных работать со спецоборудованием. Для многих фирм и организаций такие капиталовложения являются целесообразными, непрофильными и не понятно, отобьются ли они в дальнейшем. Хакеры могут и не заинтересоваться именно этой компанией. Но и полностью игнорировать возможные риски тоже нельзя, так как успешная кибератака для компании может обернуться слишком тяжелым ударом.
Оказать помощь в такой ситуации способны сервис-провайдеры. Вопросом безопасности сети клиента в этом случае будут заниматься профессионалы, которые и осуществят доскональную проверку инфраструктуры на наличие уязвимостей.
На чем остановить свой выбор, компания решает, исходя из собственной зрелости в сфере ИБ. Лучше всего, чтобы подход был комплексным. Первую оценку степени уязвимости, как и поддерживающую, лучше проводить путем сканирования. Для проверки инфраструктуры и профессионализма специалистов больше подойдет пентест.
«Ростелеком», начиная с прошлого года, предлагает свой сервис контроля на базе Qualys – VM. Он подойдет для всех клиентов: и тех, кто обращается первый раз, и тех, кто понимает всю значимость сетевой безопасности и этого мероприятия.
Что подразумевается под сервисом контроля?
Благодаря этому сервису у заказчиков есть возможность сканировать и внешнюю сторону работы компании и внутреннюю: серверы, приложения, сетевое оборудование, рабочие места, в частности сотрудников, работающих на удаленке (применяются модули-агенты). Сканирование, в свою очередь, бывает разовым и периодическим. Первый вариант подходит для небольших организаций и задач точечного характера. Второй – сделает выше степень защищенности. Кроме этого провайдер может инвентаризировать активы клиента и по итогам сканирования проверить вероятность эксплуатации самых серьезных уязвимостей. После этого он предоставит отчет, в котором будут рекомендации по их ликвидации, статистика и оценка степени защищенности в целом.
Сегодня есть разные сканеры. «Ростелеком» предоставляет возможность пользоваться сервисом, созданным на базе Qualys. Плюс в том, что облако, где данные обрабатываются, находится на территории нашей страны. Заказчик в этом случае может быть спокоен. Его конфиденциальные сведения за пределы страны не выйдут.
Что именно требуется сканировать, напрямую зависит от того, какие задачи на данном этапе у клиента. Практически во всех случаях целесообразно проводить сканирование веб-приложений. Если не будет защиты, каждый из сетевых узлов подвергается угрозе взлома мошенниками. Согласно статистическим данным Solar JSOC, именно на них выпадает третья часть всех хакерских атак из вне.
Если организация обеспокоена вопросом безопасности собственных серверов и компьютеров персонала, то заниматься исследованиями необходимо. В случае, если внутренний ресурс имеет надежную защиту и главная цель – это организация прочного внешнего пространства, значит его проверкой и следует заниматься. В общем, исходя из практики нескольких лет, инциденты кибербезопасности внутреннего и внешнего характера имеют соотношение 42% к 58% (показатели приблизительные).
Сканирование внешнего ресурса происходит из облака. Анализ внутрисетевого пространства проводится путем использования, так называемых, локальных сканеров. Это специальные машины виртуального типа, которые разворачивают в инфраструктуре клиента. Благодаря им упрощается процедура организации и оптимизируется нагрузка в процессе исполнения задачи.
Агенты, о которых речь шла ранее, выступают в роли альтернативы сканеру. Их разворачивают на узлах сети, чтобы без перебоев получать об этих узлах сведения. Таким образом будет происходить сбор информации, как об ОС, сервисах и портах открытого типа, так и о ПО, запущенных в работу процессах, пр. От количества собранной во время сканирования информации зависит точность и полнота сведений о степени защищенности.
Для заказчиков, имеющих ресурсы в ИБ-области, обладает навыками использования таких сканеров и желает иметь эффективный инструмент, могут предоставить сервис для самообслуживания или же в промежуточном виде, то есть, просканировать сеть сможет сам клиент, а выполнением остальных работ будут заниматься специалисты.
VM сможет не только искать уязвимости, но и проверить, соответствует ли инфраструктура ИБ-политикам (рекомендации СIS, внутренние правила организации, требования PCI DSS, практики Solar JSOC.
А без этого можно?
Если сравнивать, то VM, это то же самое, что техосмотр автомобиля. Только вместо транспортного средства проверяются внешний ресурс компании, внутренняя сеть или сайты. Все уязвимости на сто процентов сканер не выявит, но он обнаружит те, которые будут интересны кибермошенникам в случае организации атаки на компанию.
Иногда вполне достаточно незначительно повысить степень информационной безопасности, чтобы предупредить до восьмидесяти процентов или больше возможных хакерских атак, которые могут стать серьезной проблемой. В противном случае слишком велик риск больших потерь, с которыми может справиться, как показывает практика, далеко не каждая компания.