Пять признаков уязвимости вашей инфраструктуры

Вопреки распространенному мнению, атака на корпоративную инфраструктуру не всегда очевидна, а уязвимости в ней могут годами «ждать» своего использования. Факт компрометации системы может долго оставаться незамеченным, что максимально негативно сказывается на компании. Чем дольше злоумышленники получают внутренние данные компании, тем большие траты она несет.  

Есть несколько неочевидных признаков взлома системы или наличия в ней больших брешей, через которые можно легко атаковать систему безопасности.

Избыточность окружения и бизнес-процессов

Злоумышленники могут использовать избыточности в окружении для получения доступа в систему при атаке, закрепления в ней, анализа окружения и распространения вредоносного кода. Например, сотрудник не занимается разработкой, тестированием или администрированием, но у него на компьютере установлены программы для сканирования сети, удаленного доступа, использования стороннего сетевого оборудования. По данным Positive Technologies, избыточные привилегии приложения или СУБД занимают седьмое место среди самых распространенных уязвимостей на сетевом периметре в 2017 году.

Избыточность окружения дает возможность хакеру быстро и незаметно проникнуть в инфраструктуру и атаковать ее. Чтобы усложнить ему задачу, нужно использовать систему управления информационной безопасностью в сочетании со стандартными методами защиты: антивирусами, межсетевыми экранами и другими инструментами. Это позволяет отслеживать угрозы и быстро реагировать на попытки проникновения в систему, создания подключений, передачи данных по сети и другие вредоносные активности.

Игнорирование безопасности устройств сотрудников

Компания Positive Technologies провела оценку осведомленности сотрудников в вопросах информационной безопасности в ряде компаний. Специалисты отправили более 1 300 писем со ссылками на фишинговый ресурс и специальным скриптом в прикрепленном файле. 26% работников перешли по ссылкам, 16% запустили файл, а 11% ввели свои учетные данные в поддельную форму аутентификации. Социальная инженерия заставляет их открывать письма с упоминанием увольнения, премии и отпуска в теме.

Работники теряют свои устройства, но не умеют удаленно стирать с них данные. Они используют незащищенный вайфай для работы с документами компании и оставляют свой компьютер включенным без присмотра. Все это позволяет злоумышленникам легко получить доступ к данным компании. Чтобы избежать этого, проводите обучение: объясняйте сотрудникам, почему их поведение опасно и как надо себя вести. Составьте для них должностные инструкции и периодически проводите проверку их знаний. Если у вас не хватает средств и людей для организации и проведения обучения, отдайте его на аутсорс.

Одна или две учетные записи для управления инфраструктурой

Часто администраторы в первую очередь ищут угрозы заражения вирусами, установки стороннего ПО и запуска кейлоггеров для кражи паролей. Однако они не подозревают, что их полномочия доступа находятся под угрозой. Человек с правами локального администратора может извлечь из оперативной памяти сетевой протокол аутентификации Kerberos, хеш пароля и иногда даже сам пароль от учетных записей.

Создавайте как минимум четыре учетные записи администратора — в соответствии с задачами и условными «зонами доверия». Такими могут быть, например, записи для работы с контроллерами домена, для серверов, рабочих станций, удаленных филиалов, для входа с личного компьютера.

Доменная групповая политика для создания локальных учетных записей

Сведения о такой записи хранятся в открытом виде в файле контроллера домена, который доступен для чтения всем участникам домена. Пароль зашифрован симметричным шифрованием, а один ключ действует для всех копий Windows и написан в открытом виде. Это значит, что любой пользователь может скачать файл, узнать пароль от учетной записи с правами администратора и получить над ней контроль. Во избежание такой опасности добавляйте групповым политикам только доменные учетные записи в локальные группы на хостах.

Прямой доступ в интернет для пользовательской сети

Если пользователь заходит в интернет без прокси-сервера, его устройство подключается к серверам приложений и сайтов напрямую. Они распознают IP-адрес и могут проводить по нему блокировки, вычислять местоположение пользователя. С другой стороны, прокси защищают локальную сеть от внешнего доступа, могут запрещать доступ к определенным сайтам, позволяют устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы. Всегда устанавливайте прокси-сервер даже без кеширования, авторизации и в маленьких сетях, ставьте запрет на прямой выход в интернет для пользователей.

Итог

• Избегайте избыточного окружения. Не давайте сотрудникам свободный доступ к бизнес-активам и права локального администратора тем, кому они не нужны. Используйте систему управления информационной безопасностью в сочетании с антивирусами, сетевыми экранами и другими инструментами, чтобы отслеживать угрозы.

• Обучите сотрудников правилам кибербезопасности. Составьте план обучения и периодически проверяйте, насколько хорошо они усвоили материал.

• Создавайте минимум четыре учетные записи администратора системы для для работы с серверами, рабочими станциями и для других задач.

• Групповым политикам создавайте только доменные учетные записи в локальных группах на хостах во избежание компрометации паролей.

• Размещайте в системе прокси-сервер и устанавливайте запрет на прямой выход в интернет для пользователей.