Миссия (не)выполнима: узнать уязвимые места компании за 12 часов

Те самые, которые злоумышленник может использовать прямо сейчас.

Материал подготовлен при поддержке Positive Technologies

В последние несколько лет количество успешных кибератак на компании во всём мире постоянно растёт. Бизнес несёт миллионные убытки, потому что у него не всегда хватает ресурсов или знаний для борьбы с угрозами.

Упростить жизнь организациям может компания Positive Technologies. Она развивает MaxPatrol VM — систему, которая выявляет уязвимости, доставляет информацию о самых опасных из них за 12 часов и настраивает работу по их устранению. Вместе с её разработчиками разбираемся, как это происходит.

Уязвимости — «дыры» в ИТ-системе компаний, через которые злоумышленник может получить доступ к конфиденциальным данным или подорвать работу инфраструктуры организации.

В год по всему миру в системах, которыми пользуются и большие корпорации, и локальный бизнес, появляются десятки тысяч таких лазеек. За этим ежедневно следит ИБ-сообщество, в том числе и наши исследователи.

Информацию мы собираем из разных источников: баз уязвимостей и эксплойтов, публичных репозиториев кода, бюллетеней безопасности вендоров, соцсетей, блогов, Telegram-каналов. Эксперты стараются отловить все «дыры», но приоритизируют их по уровню значимости, в том числе определяя трендовые — те, которые могут угрожать бизнесу «прямо здесь и сейчас». Информацию о таких уязвимостях мы доставляем в наш продукт в течение 12 часов с момента их появления. Устранить все сразу невозможно, для этого не хватит никаких ресурсов. Отчёты по итогам сканирования порой содержат около 150 страниц, поэтому именно трендовые лазейки нужно устранять в первую очередь.

Они сочетают в себе три параметра:

Например, в мае 2024 года такой уязвимостью стала CVE-2024-21683 в сервисе для командной работы Confluence. Она возникла из-за ошибок валидации входных данных в API. Использовав её, злоумышленник сможет получить повышенный уровень доступа к системе и выполнить любую команду — вплоть до удаления самой системы вместе со всеми данными пользователя.

Ещё одна трендовая уязвимость CVE-2024-21413 скрывалась в почтовом клиенте Microsoft Outlook. Он установлен почти на миллиарде устройств. Пользователю было достаточно открыть вредоносный контент, и злоумышленник получал возможность запустить любой код на заражённом компьютере.

Сначала их анализирует алгоритм на основе искусственного интеллекта. Именно он выявляет среди тысяч лазеек те, что похожи на трендовые. Параметров при анализе — десятки. Среди базовых:

Первичная подборка от бота «попадает на стол» к нашим экспертам — они проверяют её вручную. Например, сверяются с рекомендациями от Федеральной службы по техническому и экспортному контролю.

Все ставшие трендовыми угрозы мы добавляем в MaxPatrol VM в течение 12 часов с момента обнаружения.

Первый этап: запоминает инфраструктуру

Чтобы понимать, где искать эти уязвимости, MaxPatrol VM проводит инвентаризацию узлов корпоративной сети. Система получает информацию обо всех активах ИТ-инфраструктуры компании и составляет её карту. Так и VM-система, и сама компания видят, что к чему подключено и что от чего зависит.

Узлов может быть и 500, и 10 тысяч, а публичных сайтов, за которыми тоже нужно следить, — десятки штук. Обычно инфраструктуру разворачивает ИТ-отдел, а за её безопасностью следит уже ИБ-департамент. Иногда коммуникация между отделами хромает, и те, кто отвечают за безопасность, могут не знать, что айтишники вчера подключили новый сервис. Из-за этого они не учтут его при проверках на наличие уязвимостей. MaxPatrol VM будет следить за обновлениями автоматически.

Система сканирует активы компании методами белого (с предоставлением данных о приложении, включая исходный код) и чёрного (без каких-либо исходных данных) ящика. Затем можно классифицировать и группировать активы — например, по расположению в сети или важности. У каждого такого кластера может быть свой приоритет и свой наблюдатель. Например, за мониторинг серверов в Казани будет отвечать одна команда, а за узлы в Москве — другая.

Второй этап: ищет уязвимости

При инвентаризации MaxPatrol VM запоминает полную конфигурацию хоста или узла сети. Как только какую-то уязвимость вендор помечает как трендовую, система, установленная в компании, за несколько секунд находит её в предыдущих результатах сканирований. Для этого MaxPatrol VM не сканирует систему с нуля, а обращается к архиву. Благодаря этому сотрудники ИБ-департамента быстро понимают, есть ли трендовая уязвимость в текущих сборках ПО.

При сканированиях с нуля сервис обнаруживает все уязвимости — в том числе низкого приоритета.

Важность «дыры» зависит от того, где она находится. Если это компьютер охранника, на котором разве что Excel с нечувствительной информацией и без персональных данных, то угроза будет неприятной, но всё же не поставит деятельность компании под угрозу. Если же это сервер бухгалтерии, добравшись до которого злоумышленник сможет увести сумму, без которой компания вообще не сможет продолжить своё существование, — реакция должна быть незамедлительной.

Третий этап: помогает с устранением

Данные мониторинга отображаются на специальных дашбордах. Сотрудники видят, сколько всего уязвимостей в системе, какие из них на важных узлах, что уже взяли в работу, а что не успели устранить в срок. Если к MaxPatrol VM подключён сервис, с помощью которого компания ставит задачи, можно настроить автоматическое оформление тикетов на исправление.

Ответственность за защиту несёт ИБ, но обновления ПО — задача ИТ. Самое сложное — установить договорённость между ИТ- и ИБ-отделами о том, что и как устранять в первую очередь. Поставить патч, который залатает «дыру»; сделать так, чтобы лазейку нельзя было эксплуатировать; вовсе отказаться от установленного решения. Последнее может случиться, например, с Windows XP, которую ещё с 2014 года не поддерживает Microsoft.

Четвёртый этап: проводит профилактику

Уязвимостью может быть и устаревший подход к ИБ. Иногда это просто использование несовременных решений, а иногда — нарушение каких-то общепринятых инструкций. Представим, что компания закрыла все лазейки в инфраструктуре. При этом её основной сервер защищён несложным паролем, который злоумышленники могут относительно быстро подобрать полным перебором.

MaxPatrol VM может проводить контроль корректных настроек в соответствии с требованиями информационной безопасности при помощи модуля host compliance control (HCC). Модуль отслеживает базовые настройки, которые необходимы для обеспечения минимального уровня безопасности. Например, вход по паролю или его длину. Даже невыполнение таких требований может стать угрозой безопасности компании.

В MaxPatrol VM можно установить расписание для повторных инвентаризаций, сканирований и назначить сотрудников, которые будут получать уведомления об уязвимостях на почту или в мессенджер.

Один из вариантов настройки — вынести на главный дашборд только приоритетные для компании виджеты. Убедиться, что не появилось новых трендовых угроз, можно за пять секунд. Остальная информация будет приходить в полноформатных отчётах — ежедневных, еженедельных, ежемесячных или ежеквартальных. В зависимости от потребности.

Главное — не забывать регулярно мониторить систему. Ведь вернуться может даже устранённая уязвимость. Например, если сотрудник поставил патч, а компания «откатила» версию до предыдущей — лазейка для хакера снова открыта.

От взломов не застрахован даже малый бизнес с двумя сотрудниками и одним рабочим компьютером. Его владелец может хранить в системе и бухгалтерские документы, и конфиденциальные соглашения с партнёрами, и пароли от всех личных и корпоративных сервисов. А если компания предлагает B2C-услуги и не шифрует при этом данные, то с помощью уязвимости злоумышленники могут украсть и персональные данные клиентов.

Так что продукт для мониторинга уязвимостей не помешает любому бизнесу. Конечно, злоумышленников больше интересует крупный, потому что на его данных они могут больше заработать. Но это не значит, что остальным можно расслабиться. Потому что любой взлом — риск понести репутационные и финансовые потери.

Новая версия MaxPatrol VM закрывает потребности бизнеса любого размера: комплаенс-контроль позволяет адаптировать правила под задачи компании, а также анализировать веб- и Docker-контейнеры. Узнать про MaxPatrol VM больше можно на онлайн-трансляции 13 июня в 14:00. На ней спикеры и эксперты подробно расскажут про релиз MaxPatrol VM 2.5 и его обновлённые возможности.

Реклама, АО «Позитив Текнолоджиз», 0+