Как гласит принцип Парето, 20% усилий дают 80% результата, а остальные 80% усилий — лишь 20% результата. В защите от кибератак 80% результата дает защищенный периметр. Злоумышленники — тоже люди. И как любым людям им свойственны пороки и привычки. Один из наших самых главных наших пороков — лень и ритуалы. Они есть у всех. Кто-то берет один и тот же кофе в одном и том же месте, кто-то всегда проверяет почту первым делом, а кто-то взламывает компании одним и тем же способом. Многие из злоумышленников автоматизировали свои действия. И мы можем использовать это в свою пользу. Как это сделать? Рассказывает Николай Степанов, пресейл-инженер F.A.C.C.T..
Понимание того, что для разных хакеров характерны собственные «любимые» приемы — сильно помогает с расследованием киберпреступлений, но об этом мы поговорим в другой раз. Сейчас нам нужно понять, как использовать эти знания для защиты бизнеса и куда нам направить свое время и ресурсы сейчас, чтобы не тратить ещё больше времени и сильно больше денег на решение последствий потом.
То, что видно всем в сети это «периметр» вашей компании. Это ваши домены, IP адреса и почты сотрудников (да, сейчас их легко найти), и это и есть самые уязвимые части компании. Потому что до них легко дотянуться.
Почта
Как мы писали в прошлой статье: «Человек — самое уязвимое место в компании» — потому что на него невозможно «быстро установить обновление безопасности». Поэтому потратьте время на то, чтобы прописать корректные политики почты, SPF, DMARC и DKIM-записи. Фишинг хоть и появился очень давно, но все ещё крайне эффективен и используется как начинающими преступниками, так и крупными проправительственными группировками, к примеру Lazarus (это, кстати, их любимый метод попадания в компанию — из 110 атак 70 начинались с фишинга).
Найдите ваши активы
Вас скорее всего не будут атаковать «в лоб» через основной ресурс. Почему? Потому что вы, разработчики и админы, работаете с ним каждый день. Скорее всего, там все будет обновлено, и проверено десятки раз. А как насчет того одностраничного сайта, который вы подняли под праздник или акцию? Да, тот, который все ещё, почему-то доступен и висит у вас на сервере, хотя и должен быть уже отключен. Подойдите к своему администратору и уточните, сколько сейчас доменов, поддоменов и IP-адресов вашей компании доступны в сети. Если в ответ не будет дана точная цифра — это повод задуматься.
Следите за активами
Обновляйте ПО, которое стоит на внешних активах, следите за портами, которые на них открыты. Мне сложно сосчитать случаи, когда кто-то «забыл» закрыть RDP-порт, когда кто-то «случайно» не обновил ПО с критичной уязвимостью на сервере, когда кто-то «по ошибке» оставил доступной административную панель и т.д. Это всегда заканчивалось тратой огромного количества нервов, времени, репутации и денег. Такие маленькие ошибки часто заканчиваются большими проблемами
Эти предосторожности не гарантируют полную безопасность. Даже выключенный от сети компьютер можно включить и атаковать, было бы желание. Но эти простые на вид действия затруднят разведку и автоматический «пробив» активов. Злоумышленники — тоже люди, и как все люди, они хотят получить максимальную выгоду с минимальными затратами. Давайте не будем упрощать им жизнь.
Я понимаю, что многие организации достигли того размера, что «назвать точное число активов» уже невозможно, потому оно каждый день меняется. Тогда, стоит обратить внимание на решения класса Attack Surface Management (ASM). Такие решения как раз направленны на то, чтобы: 1. Найти ваши активы. 2. Подсветить проблемы, связанные с ними.
Не утекайте!