Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Маркетплейсы
Крипто
AI
Образование
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
CyberOK

Таинственные EASM и где они обитают. Часть первая. Кто ты?

Таинственные EASM и где они обитают. Часть первая. Кто ты?

Мы, эксперты Сайбер ОК, приглашаем вас в турне по сравнению систем класса External Attack Surface Management. Проверим точность как базовых функций таких систем (определение открытых портов и продуктов на конечных устройствах, нахождение связанных с ними доменов) , так и определения уязвимостей. В путь!

Полный текст исследования опубликован здесь.

В современном мире практически любая организация имеет собственный ресурс в Интернете, который может предоставлять клиентам различные возможности. Сам ресурс может представлять из себя небольшой лендинг с прайс-листом и контактной информацией, интернет-магазин, портал или форум.

С ростом количества таких ресурсов и увеличением вычислительной мощи компьютеров количество кибератак неуклонно растёт, о чем свидетельствуют некоторые цифры:

  • Согласно отчёту Google, в более чем половине случаев атак на облачные системы стал использоваться перебор (brute force) учетных данных, также злоумышленники при атаках на облачные системы эксплуатировали уязвимости в программном обеспечении в 36,7% случаев.

  • «Positive technologies» в отчёте за 2022 год приводит следующую статистику: «Число успешных атак, направленных на веб-ресурсы организаций, увеличилось на 56%. Если в 2021 году веб-ресурсы компаний становились объектами атак в 17% случаев, то в 2022 году доля таких инцидентов составила 22%».

  • Расследование массовых взломов 1С-Битрикс компании СайберОК показало, что злоумышленники могут годами использовать известные уязвимости для доступа к системам.

Актуальность

Стоит выделить некоторые причины, по которым атаки на ресурсы, имеющие прямой выход в Интернет, становятся возможными:

1) Неправильная конфигурация сетевого доступа и недостатки конфигурации приложений.

Некоторые устройства, реализующие серверные протоколы, не должны иметь выход в Интернет или должны быть доступны только с помощью VPN. Пренебрежение этим принципом может позволить злоумышленникам, при обнаружении такого устройства, нарушить производство, что повлечет за собой как репутационные, так и финансовые потери.

К этой же категории можно отнести общедоступные страницы сайтов, содержащие конфигурационную информацию, панели для администраторов или описание API, доступ к которым должен быть ограничен.

Согласно данным «Paloalto», в 2022 году четверть проблем, связанных с общедоступными ресурсами, заключалась в открытых RDP-серверах, 17% из которых были с открытыми страницами входа для администраторов.

2) Устаревшее ПО

Обновления для различных компонентов, с помощью которых разработано веб-приложение, зачастую содержат исправления уязвимостей.

Ярким примером может служить случай, произошедший в мае 2023 года: массовый дефейс веб-ресурсов, использующих CMS «1С-Битрикс: Управление сайтом». Массовые взломы были проведены загодя, начиная с 2022 года через известные уязвимости (включая CVE-2022-27228), а целями атакующих являлись все не обновлённые версии «1С-Битрикс: Управление сайтом». Своевременное обновление данного ПО могло бы предотвратить компрометацию большей части ресурсов.

3) Новые уязвимости

Ежемесячно в популярном программном обеспечении экспертами выявляются новые уязвимости, позволяющие злоумышленникам, действующим удалённо, получать доступ к конфиденциальной информации.

В случае объемной инфраструктуры в организации отслеживать и контролировать вручную все версии ПО, новые уязвимости и конфигурацию сети может быть непросто.

Для того, чтобы упростить эту задачу, могут использоваться сервисы для управления поверхностью атаки (Attack Surface Management, ASM-сервисы) . Поверхность атаки, согласно определению Национального Института Стандартов и Технологий США, представляет собой совокупность точек на границе системы, системных элементов или среды, к которым злоумышленник может попытаться получить доступ, воздействовать на них или извлечь из них данные.

ASM-сервисы предоставляют результаты пользовательских запросов в виде IP-адресов, доменов, связанных с этими адресами, информацию об открытых портах и запущенных сетевых службах. Некоторые ASM-сервисы анализируют версии программного обеспечения, установленного на исследуемом хосте, и предоставляют информацию о потенциальных уязвимостях.

Методология, ожидаемые результаты

В статье представлены результаты анализа по заданным критериям для сравнения ASM-сервисов. Определены слабые и сильные моменты, возможности, принципы работы и специфика различных ASM.

В фокус исследования попали системы, отобранные по географическому признаку: в выборку вошли представители США, Кореи, Армении и Китая: Shodan, Censys, Criminal IP, Netlas, Hunter. how.

Для сравнения применялся ряд критериев:

  • периодичность сканирования;
  • количество сканируемых портов, поддерживаемых протоколов и проб сетевых сервисов;
  • общее количество обнаруживаемых устройств и сетевых сервисов;
  • выявление ошибок конфигурации и уязвимостей, с присвоенным идентификатором CVE (Common Vulnerabilities and Exposures) ;
  • качественные характеристики.

Результаты исследования, проведенного экспертами CyberOK, могут помочь определиться с выбором ASM-системы для решения той или иной задачи.

1.1 Сравнение ASM по периодичности сканирования

Актуальность данных является важнейшим фактором при использовании ASM-систем. Своевременное обновление результатов сканирования узлов компаний, имеющих выход в Интернет, помогает быстрее выявить и исправить уязвимости, и, как следствие, снизить вероятность успешных атак на инфраструктуру этой компании. Актуальность данных в ASM-системах, в свою очередь, обеспечивается систематическим сканированием сети.

Shodan сканирует весь Интернет не реже 1 раза в неделю, но дополнительно можно использовать API этого сервиса для сканирования в любой нужный момент — подробная информация об этом представлена на официальном сайте сервиса.

Для получения информации о периодичности сканирований сервиса Criminal IP были проанализированы узлы, расположенные в разных странах (РФ, США, Германия) . Рассматривалась даты обновлений информации для популярных открытых портов (80, 443, 22 и т. д.) .

Netlas обладает возможностями выполнения запросов и получения результатов сканирований в рамках выделенных временных диапазонов. Один временной диапазон соответствует одному периоду сканирования Сети, пример диапазонов можно увидеть на скриншоте сервиса:

<i>Рисунок 1.</i>
Рисунок 1.

По информации с официального github-репозитория сервиса, Hunter. how ежедневно сканирует все 65 535 портов пространства IPv4 и с той же периодичностью обновляет данные сканирований свыше 40 млн. сервисов.

Censys в своём сервисе сосредоточен на задачах глобального сканирования популярных портов, сканирования облачных провайдеров (таких как Amazon, Google и Azure) , глобального сканирования наименее популярных портов (3455 портов на пространстве IPv4) и сканирования всех портов пространства IPv4 с низкой фоновой скоростью. Подробная информация об этом представлена на официальном сайте сервиса.

На основании полученных результатов можно сделать вывод, что наиболее высокая периодичность сканирования всего Интернета осуществляется ASM-сервисами Shodan и Hunter. how. Однако остальные ASM-системы обладают и могут предоставлять особые возможности и более специализированные результаты сканирований.

<i>Таблица 1. Периодичность сканирования</i>
Таблица 1. Периодичность сканирования

1.2 Сравнение ASM по количеству обнаруживаемых ими устройств и сетевых сервисов

Поскольку при обработке пользовательского запроса ASM-системы не производят сканирование всей сети, а лишь выполняют поиск по сохранённым результатам, важной характеристикой является количество обнаруженных сетевых сервисов и узлов во время регулярного сканирования всего Интернета. Информация о количестве обнаруживаемых сетевых сервисах представлена в Таблице 2. В Таблице 3 представлена информация о количестве обнаруженных в РФ сетевых сервисах. В Таблице 4 представлена информация о количестве обнаруженных в РФ узлах.

Важно заметить, что в контексте этого раздела «сетевой сервис» означает запись в базе данных (БД) с результатами сканирования ASM, которую можно найти поисковым запросом. Некоторые ASM разделяют на разные записи в БД сетевые сервисы, которые доступны по разным URI (иногда даже URL) , поэтому полученные значения не полностью однородны.

Таинственные EASM и где они обитают. Часть первая. Кто ты?
Таинственные EASM и где они обитают. Часть первая. Кто ты?
Таинственные EASM и где они обитают. Часть первая. Кто ты?

Анализ таблицы показывает, что по количеству обнаруженных сетевых сервисов в мире лидирует Hunter. how, а по количеству узлов — Censys. По количеству обнаруживаемых сетевых сервисов и узлов в РФ лидирует Hunter. how. Такой результат говорит о том, что вероятность найти уязвимые узлы выше при использовании именно этого сервиса.

1.3 Категории протоколов

Поскольку цель ASM-системы заключается не только в обнаружении устройства в сети, но и в определении потенциальных уязвимых мест, важными первичными задачами являются:

  • обнаружение открытых портов;
  • определение сетевых протоколов;
  • определение программного обеспечения (ПО) .

Для определения программного обеспечения системы класса ASM отправляют сетевые запросы, которые условно можно разделить на два типа:

  • стандартные запросы, соответствующие сетевому протоколу;
  • нестандартные запросы, специфичные для определённого ПО.

Из-за того, что под термином «протокол» различные системы подразумевают разные понятия, следует дать определения терминам, которые используются в рамках данной статьи:

  • Пробы протоколов — способ определения протоколов прикладного уровня модели OSI (The Open Systems Interconnection model) , путём отправки соответствующего стандартного сетевого запроса.
  • Пробы сетевого сервиса — совокупность стандартных и нестандартных сетевых запросов.

Так как количество обнаруживаемых открытых портов, проб сетевых сервисов и поддерживаемых протоколов является хорошей сравнительной характеристикой ASM-систем, была получена информация об этих параметрах для рассматриваемых систем. Результаты представлены в Таблице 5.

Таинственные EASM и где они обитают. Часть первая. Кто ты?

На основании полученного результата можно сделать вывод о том, что наибольшее количество обнаруживаемых портов представлено ASM-системой Censys, а наибольшее количество проб сетевых сервисов и поддерживаемых протоколов — системой Shodan.

Большее количество поддерживаемых протоколов делает ASM-систему более гибкой, позволяет находить более критичные и менее защищённые устройства. Ярким примером служат ПЛК (Программируемые Логические Контроллеры) в системах АСУ ТП (Автоматизированные Системы Управления Технологическим Процессом) : данные устройства предназначены для работы в реальном времени и, в силу того что приоритетным для них является быстродействие и способность обрабатывать большие объемы данных, при разработке прошивок для них, механизмам защиты уделяется меньше внимание. В то же время уязвимый ПЛК может иметь выход в Интернет, что позволяет злоумышленнику проэксплуатировать уязвимость и нарушить процесс производства. Другими примерами «ценных находок» для злоумышленника являются контроллеры управления материнскими платами или медицинское оборудование.

До скорой встречи в Части 2! Подписывайтесь на наш блог, чтобы не пропустить обновления.

Автор: Пушкин Максим, специалист направления развития экспертизы CyberOK.

Начать дискуссию