С внутренним врагом борись, но и о внешнем не забывай

15 сен 2021 02:40 #105179 от ICT
В 2020 году атаки на веб составили треть всех инцидентов информационной безопасности. Однако только 10% российских организаций считают, чтовеб-приложения являются приоритетным элементом инфраструктуры для сканирования на уязвимости.Это следует из опроса "Ростелеком-Солар", посвященного трендам VulnerabilityManagement (VM). Регулярные пентесты, проводимые специалистами компании, показывают, что больше половины (57%) веб-ресурсов имеют критические уязвимости, которые могут успешно использовать даже непрофессиональные хакеры. В рамках исследования, которое проводилоcь в апреле-июне 2021 года, были опрошены представители 200 организаций разного масштаба и профиля (госсектор, финансы, промышленность, IT и др.). Согласно данным опроса, всего 7% организаций осознают значимость сканирования изолированного (т.е. не подключенного к интернету) сегмента ИТ-инфраструктуры. Например, это промышленные сети или закрытые государственные системы обмена данными. Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респондентов считает важным сканирование всех элементов инфраструктуры. В целом, согласно опросу, контроль уязвимостей в том или ином виде есть в 70% организаций. Однако в большинстве из них сканирование проводится недостаточно регулярно: более 60% компаний сканируют инфраструктуру раз в квартал или реже. Это, по оценкам специалистов "Ростелеком-Солар", не соответствует динамике появления новых уязвимостей. В то же время анализ критических серверов и рабочих компьютеров сотрудников проводится более регулярно. Раз в квартал и реже эти элементы инфраструктуры проверяют 40% респондентов, остальные – чаще. Почти во всех организациях сканирование либо проводится автоматически (так ответили 41% респондентов), либо силами одного выделенного ИБ-специалиста (39%). Этого недостаточно для оперативной обработки полученных со сканера данных и формирования актуальных рекомендаций по закрытию найденных уязвимостей – отмечают эксперты. В то же время часть опрошенных указывает на проблемы во взаимодействии между ИБ-службами и ИТ-администраторами своих организаций в вопросах установки патчей. В 12% опрошенных компаний ИТ-службы никак не реагируют на запросы о проведении необходимых обновлений даже в период массовых атак-пандемий. "Концентрация на одном из сегментов инфраструктуры приводит к существенному ослаблению безопасности другого. С одной стороны, именно уязвимости внутренних сетевых узлов хакеры используют для развития атаки внутри инфраструктуры (для кражи данных, влияния на технологические процессы и т. п.). С другой – компании, концентрируясь на внутренних уязвимостях, уделяют недостаточно внимания внешним, которые позволяют злоумышленникам проникнуть во внутренний контур, - По нашей оценке, 44% веб-приложений (например, корпоративные порталы, почтовые приложения) имеют некорректную настройку прав доступа, а 29% – возможности внедрения SQL-инъекций. Если говорить об изолированном контуре, то автоматические обновления ПО, которые закрывают многие уязвимости, здесь недоступны из-за отсутствия подключения к интернету. Это становится критично, так как ручной или полуручной процесс установки патчей отсутствует в 90% российских организаций", - отметил руководитель направления Vulnerability Management платформы сервисов кибербезопасности Solar MSS компании "Ростелеком-Солар" Максим Бронзинский. По данным Check Point Software каждые 10 секунд одна организация в мире становится жертвой вымогателей. "Защита облаков все еще остается важной задачей для 75% организаций. А более 80% компаний отметили, что их текущие инструменты по обеспечению кибербезопасности отличаются ограниченными возможностями в облаке, либо не работают в облаках вовсе", - сообщается в исследовании от Check Point Software. По данным экспертов Check Point Software, некоторые ИТ-специалисты и эксперты по безопасности стремятся использовать как локальную, так и облачную инфраструктуру. С точки зрения целесообразности, иногда бывает проще увеличить мощности уже имеющиеся решений, чем отказываться от них в пользу совершенно новых. С другой стороны, такой подход может быть следствием поэтапного внедрения облачных сервисов или одним из решений проблемы хранения данных. Тем не менее, как сообщается в исследовании, 66% опрошенных специалистов используют облачные решения безопасности, и 61% из них (среди которых 83% руководителей) считают, что они имеют решающее значение для масштабирования удаленного доступа. Согласно Check Point в ближайшие пару лет ведущими задачами безопасности для компаний будут обеспечение безопасной удаленной работы (61%), а также защита конечных устройств, в том числе и мобильных (59%). Актуальность этих проблем растет: чем больше конечных устройств — тем больше точек входа для хакеров. По данным исследования Check Point про мобильную безопасность только в прошлом году 97% компаний столкнулись с мобильными угрозами одновременно по нескольким векторам атак, и в почти половине опрошенных организаций (46%) как минимум раз было скачано вредоносное приложение. "Киберпреступники знают, что удаленные сотрудники больше чем когда-либо полагаются на мобильные устройства, и активно атакуют корпоративные и личные мобильные устройства", - к такому выводу пришли эксперты Check Point Software. Отметим также, что за первое полугодие 2021 года "Лаборатория Касперского" обнаружила в русскоязычном даркнете около 700 объявлений, связанных с эксплойтами. Непосредственно сами программы для использования ошибок или уязвимостей содержались в 47 постах — в них можно было напрямую купить эксплойт или даже скачать его бесплатно. Среди таких предложений были эксплойты, предназначенные для уязвимостей в Microsoft Office, интернет-магазинах, сервисах VPN, CMS, социальных сетях, банковских системах, ОС Windows, Internet Explorer и устройствах IoT. В остальных записях можно было найти методички по применению эксплойтов, а также рекламу соответствующих магазинов. "Информация о рынке эксплойтов сама по себе слишком общая для того, чтобы делать конкретные выводы и выстраивать на ее основании киберзащиту. Но в сочетании с отслеживанием активностей злоумышленников и пониманием того, как извне выглядят публичные сервисы организации, эти данные могут стать основой для подготовки индивидуальных уведомлений об угрозах для конкретной компании. У нас сбор и анализ таких данных осуществляется в рамках сервиса информирования об угрозах (DFI, Digital Footprint Intelligence). Мы на своем опыте видим, что во многих ситуациях аналитические отчёты и оперативные уведомления об угрозах могут предупредить компании о предстоящих атаках на их бизнес и митигировать риски", — комментирует руководитель отдела разведки и анализа "Лаборатории Касперского" Сергей Щербель. Руководитель департамента аудита и консалтинга Group-IB Андрей Брызгин отмечает, что исследования на предмет зрелости российских компаний в сфере информационной безопасности каждый раз дают повод для раздумий о том, насколько преходящим и эфемерным является состояние стабильности важных информационных систем. " В данном случае мы видим достаточно широкую выборку компаний-участников опроса как по отраслям, так и по размеру инфраструктур. Не менее разноплановым является и подход опрошенных к информационной безопасности, в частности, только 43% опрошенных компаний выделяют инфобез в отдельную функцию со штатом более одного человека. На наш субъективный взгляд, оставшиеся 57% и не могут претендовать на зрелость подхода, так как мы не верим в успешное совмещение функций ИТ-отделов и службы информационной безопасности. Авторы исследования также указывают на проблемы взаимодействия между ИТ и ИБ. В случае же, если процессы ИБ возлагаются на одного человека, речь, как правило идёт лишь о вопросах соответствия внешним отраслевым или общеобязательным требованиям, а не построению сбалансированной системы выявления угроз информационной безопасности и противодействия им. На наш взгляд, более осознанных ответов следовало бы ожидать от тех самых сорока процентов (очищенной выборки). Это могло снизить парадоксальность некоторых результатов. Было бы также интересно оценить структуру вопросов, особенно в свете того, что некоторые из них подразумевали несколько вариантов ответа, однако, это скорее придирки к методологии и полноте раскрытия материалов исследования", - комментирует исследование Андрей Брызгин. Что касается поднятой проблемы в целом, то, по словам Андрея Брызгина, она безусловно актуальна, зрелости в сфере информационной безопасности на рынке не хватает, а распределять внимание следует на все активы, способные выступить точкой входа в информационные системы для злоумышленника. "В то же время регулярных сканирований для таких сложных объектов как публичные веб-приложения, особенно для самописных или коробочных, но подвергшихся серьёзным доработкам, на наш взгляд недостаточно, в этом случае требуются мероприятия по пристальному изучению формализованной бизнес-логики и итерационные проверки обновлений сервисов. Так или иначе ответственный подход к информационной безопасности собственных и клиентских активов требует накопления существенной экспертизы внутри компаний и только с помощью внешнего, даже очень хорошего, сервиса по менеджменту уязвимостей добиться приемлемого уровня защищённости невозможно, но в умелых руках такие сервисы приносят огромную пользу, хотя бы в части автоматизации проверочных рутин и понятной визуализации процесса. Мы в своей практике также используем собственные разработки данного типа и поставляем их клиентам", - говорит Андрей Брызгин. Директор департамента информационной безопасности компании Oberon Евгений Суханов подчеркнул, что с рисками, которые возникают у клиентов компании в области защиты внешней веб-инфраструктуры, Oberon сталкивается регулярно, помогая выстраивать ее защиту и расследуя инциденты по ее компрометации. "Несмотря на высокий риск компрометации ресурсов во внешней сети, не все владельцы веб-приложений уделяют должное внимание вопросам обеспечения ИБ. Особенно это актуально для small-business-компаний. Своим клиентам мы обеспечиваем комплексный подход, внедрение систем защиты (WAF и др.) и регулярные тестирования на проникновение", - говорит Евгений Суханов. Ссылка на источник


  • Сообщений: 75474

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Внутренним электронным переводам прописали российскую инфраструктуру10.13Четверг, 24 января 2019

    Мы в соц. сетях