Вырваться из этой дыры: какие ошибки допускают компании в управлении уязвимостями

Растущая угроза проникновения

Аналитики Positive Technologies изучили результаты 30 пилотных проектов системы MaxPatrol VM, предназначенной для управления уязвимостями, которые проводились в госучреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 года по февраль 2023 года. В среднем в рамках одного проекта было проанализировано около 1500 активов, т. е. информационных систем или узлов, имеющих ценность для организации и подлежащих защите от киберугроз. Так компания смогла выделить пять ключевых проблем, с которыми сталкиваются бизнес и организации в работе с уязвимостями инфраструктуры, выстраивая свою киберзащиту.

Количество новых уязвимостей ежегодно увеличивается, указывают в Positive Technologies: в 2020 году в базе данных NVD (National Vulnerability Database) было опубликовано более 18 000 уязвимостей, в 2021-м — свыше 20 000, а в 2022-м их было больше 25 000. Каждый день в среднем обнаруживается более 60 недостатков в IT-системах, используя которые можно нанести непоправимый ущерб как отдельному активу, так и инфраструктуре в целом, нарушить технологические процессы и работу клиентских систем, украсть денежные средства или конфиденциальную информацию, отмечают эксперты. Ситуация обостряется прекращением обновлений иностранного ПО. Российские пользователи остались без поддержки мировых разработчиков, а значит, вопрос работы с уязвимостями становится все более актуальным.

Классифицируй это

Проблема №1 — недостаточная классификация активов, считают в Positive Technologies. Это, указывают эксперты, повышает риск того, что значимые для бизнес-процессов системы не попадут в зону сканирования и останутся уязвимыми к атакам злоумышленников.

В ходе пилотных проектов активам присваивался высокий, средний или низкий уровень значимости, поясняют аналитики. Высокую значимость имели контроллеры домена, почтовые серверы и серверы баз данных. К активам среднего уровня значимости относились другие серверы (например, антивирус) и рабочие станции администраторов. Активами низкой значимости, как правило, были рабочие станции пользователей. При этом в среднем удавалось классифицировать лишь 37% активов пилотной зоны.

У вас устаревшая информация

Проблема №2, которую зафиксировали специалисты, — неактуальность информации об активах. IT-инфраструктура компаний постоянно меняется: в среднем за неделю на каждые 100 существующих появляются три новых актива. Информацию о них необходимо поддерживать в актуальном состоянии.

Однако в 75% компаний она не обновляется вовремя: около трети активов имеют устаревшие данные. «Такая ситуация опасна для компании, так как некоторые из них могут быть не просканированы, и уязвимости на них не будут обнаружены вовремя», — сообщают эксперты.

Разобраться с приоритетами 

Проблема №3 заключается в ошибках, которые компании допускают в приоритезации уязвимостей. «Управление уязвимостями включает в себя их своевременное выявление, анализ и устранение. В результате сканирования в пределах одной пилотной зоны были выявлены десятки, а иногда и сотни тысяч различных уязвимостей, — следует из отчета. — Устранить такое количество недостатков в кратчайшие сроки — сложная задача, потому прежде всего необходимо расставить приоритеты».

В результате около четверти компаний не учитывают важности активов, на которых были обнаружены бреши. В 76% проектов при формировании политики устранения не учитывался уровень опасности уязвимости, а в 59% — не рассматривалось наличие публичного эксплойта (программы или фрагмента кода, использующих бреши в софте для атаки на вычислительную систему).

В Positive Technologies советуют обращать внимание на популярность уязвимости среди злоумышленников — ее трендовость: «Часто популярность обретают недавно опубликованные уязвимости, для которых еще не выпущены обновления безопасности. Однако трендовыми могут быть и уязвимости прошлых лет — они продолжают быть актуальными и активно применяются атакующими. Их стоит устранять в первую очередь». Согласно отчету Securin, 76% «дыр», которые в настоящее время используются группами программ-вымогателей, были впервые обнаружены в период с 2010 по 2019 год. При этом в среднем в пределах одной пилотной зоны выявлялось более 700 трендовых уязвимостей: около 53 на каждые 100 активов.

Скорость реакции

Еще одной выявленной проблемой стало то, что во всех исследованных организациях минимальные сроки устранения уязвимостей оказались больше, чем время, через которое злоумышленники начинают использовать их в атаках. Специалисты рекомендуют устанавливать минимальные сроки устранения на активах высокой значимости, особенно при обнаружении трендовых и критически опасных уязвимостей.

«Злоумышленники не выжидают недели с момента публикации уязвимостей, а стараются сразу взять их в оборот, пока потенциальные жертвы не установили обновления безопасности, — указывают в Positive Technologies. По данным аналитиков Rapid7, в 2022 году киберпреступники разрабатывали эксплойты быстрее, чем когда-либо — 56% уязвимостей эксплуатировались уже в течение семи дней после публичного раскрытия, что на 12% больше, чем в 2021 году, и на 87% больше, чем в 2020 году. Более того, в 2022 году злоумышленники начинали сканирование на наличие уязвимостей уже в течение первых 15 минут после публикации информации в CVE (общепризнанная классификация уязвимостей Common Vulnerabilities and Exposures), обращали внимание эксперты Palo Alto Networks.

Промедление смерти подобно

Кроме того, эксперты выявили серьезные проблемы, связанные с несвоевременным устранением недостатков в информационных системах. В каждой третьей компании нарушалась политика устранения уязвимостей, при этом около 30% активов высокой значимости содержали в среднем семь просроченных трендовых уязвимостей.

«По результатам проектов тестирования на проникновение мы выяснили, что нарушить работу государственного учреждения можно за шесть дней, а украсть денежные средства из финансовой организации — меньше, чем за месяц, — пишут аналитики. — Для реализации недопустимого события злоумышленникам потребуется около 10 дней. А в течение месяца реальный преступник может реализовать 89% событий, которые окажут серьезное негативное влияние на деятельность компании».

Так, в конце 2021 года киберпреступники атаковали минобороны Бельгии, в результате чего компьютерные системы учреждения вышли из строя на несколько дней. Во время атаки злоумышленники эксплуатировали критическую уязвимость удаленного выполнения кода. В другом инциденте поставщика медицинских услуг в Канаде одновременно атаковали два отдельных шифровальщика: Karma и Conti. Злоумышленники скомпрометировали данные организации и зашифровали серверы, оставив записку с требованием выкупа. Обе группы вымогателей получили доступ через эксплойты ProxyShell, нацеленные на уязвимости платформы Microsoft Exchange Server.

Заткнуть пробоину

Опрошенные Forbes участники рынка с выводами коллег согласны. «Эти же проблемы мы системно встречаем в наших проектах», — говорит начальник отдела развития консалтинга по информационной безопасности компании «Инфосистемы Джет» Александр Морковчин. По его словам, процесс управления уязвимостями — это всегда гонка, в которой задача хакера «проэксплуатировать недостатки быстрее, чем компания может их устранить». «Это требует сосредоточения времени, ресурсов и слаженной работы. Незрелый процесс управления активами, а особенно несогласованность между ИБ и IT здесь только играет на руку злоумышленнику. Менее в чем 40% компаний мы можем отметить четкие SLA на устранение уязвимостей, закрепленные между IT и ИБ», — говорит Морковчин.

Важно выстроить систему сквозной ИБ с IT-подрядчиками, которые также могут стать точкой входа в инфраструктуру целевой компании, объясняют эксперты. «Зачастую злоумышленники выбирают именно эти менее защищенные компании в качестве мишени. Иногда достаточно скомпрометировать от двух до пяти учетных записей, чтобы далее по цепочке атаковать ключевые бизнес-процессы и активы», — рассуждает руководитель отдела консалтинга и аудита Angara Security Александр Хонин.

Последствия от эксплуатации атакующими незакрытых уязвимостей бывают самыми разными: полный вывод из строя информационной инфраструктуры (например, в результате действий вируса-вайпера или шифровальщика), шантаж компании разглашением украденной конфиденциальной информации, продажа в даркнете похищенных учетных данных системных администраторов, перечисляет генеральный директор Security Vision Руслан Рахметов. «Обиднее всего, когда выясняется, что атакующие использовали уязвимости, опубликованные еще пять-семь лет назад и для которых уже давно есть патчи, — продолжает он. — Но в компании либо сделали для взломанного сервера исключение в процессе управления уязвимостями (например, каким-то образом обосновав невозможность установки обновления), либо устройство просто «выпало» из сканирования на наличие уязвимостей, например сервер был заведен в подсеть с ограниченным для сканера доступом».

«В проектах по аттестации ИБ-инфраструктуры и анализу защищенности компаний финансового и страхового рынка, ретейла, госсектора мы выявляем сотни уязвимостей ПО и IT-инфраструктуры, которые потенциально могут использоваться для планирования кибератак. При этом экономические затраты на исправление отдельных уязвимостей могут быть выше стоимости самого актива, особенно если он изолирован от взаимодействия с более значимыми бизнес-процессами», — говорит Александр Хонин. По сути, это риск-менеджмент, для которого необходимо привлекать руководителей IT-подразделений и бизнес-направлений, отвечающих за актив или их группу, продолжает он: «На практике управление уязвимостями в таком формате требует высокого уровня инвестиций и трудозатрат, к которым бизнес может быть не готов в моменте».

В Angara Security рекомендуют выстроить процесс сканирования, обработки, исправления и проверки критичных уязвимостей и запускать этот цикл не раз в год или в квартал, а на постоянной основе. «Например, компании годами не обновляют ПО, хотя вендоры регулярно анализируют уязвимости и выпускают «патчи», которые важно своевременно устанавливать», — подчеркивает Хонин.