При проведении анализа состояния информационной безопасности ИТ-инфраструктуры очень часто обнаруживаются множественные уязвимости, устранение которых не оказывает существенного влияния на общий уровень защищенности информации. Необходимо скорректировать имеющиеся процессы обеспечения информационной безопасности и внедрить эффективные механизмы контроля.
Классификация уязвимостей
При анализе уязвимостей в ИТ-инфраструктуре компании обычно рассматривают следующие их виды:
- технологические или архитектурные – отсутствие определенных механизмов, технологий обеспечения информационной безопасности;
- организационные – отсутствие документированных требований, процессов обеспечения информационной безопасности;
- эксплуатационные – уязвимости, связанные с недостатками в существующих компонентах ИТ-инфраструктуры.
Любой выбранный подход к классификации обнаруженных уязвимостей должен быть формализован во внутренних документах компании. Например, можно взять за основу подходы, описанные в российском стандарте ГОСТ P 56546-2015 «Защита информации. Уязвимости информационных систем». Можно также использовать следующие параметры для классификации уязвимостей в целях приоритезации задач по их устранению:
- критичность компонента ИТ-инфраструктуры, где присутствует данная уязвимость;
- критичность уязвимости;
- потенциальные последствия;
- наличие технологий, позволяющих эксплуатировать выявленную уязвимость.
Типовые уязвимости 2014–2015
В рамках работ по анализу ИТ-инфраструктуры, проведению тестирований на проникновение и аудитов информационной безопасности можно выделить следующие наиболее часто встречающиеся уязвимости.
Эксплуатационные уязвимости:
- неподдерживаемые версии операционных систем и системного программного обеспечения (MS Windows XP, MS Windows Server 2003, PHP). Уязвимости указанного типа могут привести к отказу в обслуживании, выполнению произвольного кода и/или раскрытию защищаемой информации;
- уязвимости веб-серверов (например, Apache HTTP Server), позволяющие атакующему провести атаку на отказ в обслуживании или выполнить произвольный код в уязвимой системе;
- использование небезопасных протоколов управления (например, telnet). Этот класс уязвимостей в большинстве случаев позволяет потенциальному злоумышленнику перехватить передаваемую аутентификационную информацию и получить доступ к уязвимому хосту. Для перехвата аутентификационной информации необходимо либо находиться на пути прохождения передаваемой аутентификационной информации, например иметь доступ к оборудованию провайдера или каналу связи, либо перенаправить трафик на себя, например, с помощью атак класса ARP Spoofing (локально) на сетевые протоколы маршрутизации или DNS (удаленно);
- использование небезопасных протоколов SSL и TLS может привести к перехвату передаваемой аутентификационной информации;
- слабые пароли WPA/WPA2-PSK. Такие уязвимости могут привести к получению несанкционированного доступа к беспроводной сети или к перехвату информации, передаваемой по незащищенным протоколам внутри беспроводной сети;
- использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR может привести к перехвату передаваемой аутентификационной информации (паролей, хешей паролей и т. д.) между Windows хостами;
- межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting существует из-за недостаточного экранирования спецсимволов, выводимых веб-приложением. Удаленный злоумышленник может выполнить враждебный JavaScript-код в контексте уязвимого домена, обойти существующие ограничения и перехватить сессионную информацию легитимного пользователя сервисов, расположенных в данном домене. Внедрение JavaScript-кода возможно любым доступным в конкретном случае способом: на сетевом уровне или с помощью атак социальной инженерии.
Организационные уязвимости:
- отсутствие контроля за процессами «Управление конфигурациями», «Управление изменениями», «Управление обновлениями». Отсутствие контроля над этими процессами обеспечения информационной безопасности может привести к возникновению новых эксплуатационных уязвимостей в ИТ-инфраструктуре;
- атаки через контрагентов и подрядные организации. Очень часто компании отдают на аутсорсинг отдельные сервисы, такие как поддержка информационных систем или администрирование сетевой части ИТ-инфраструктуры. В подобных случаях, получая несанкционированный доступ к корпоративных информационным системам подрядчиков, потенциальный злоумышленник может через такого подрядчика установить программы удаленного управления в защищаемую сеть, а в дальнейшем использовать технологии скрытых каналов (например, DNS covert channel) для управления и передачи информации конфиденциального характера на контролируемые им серверы.
Технологические уязвимости:
- возможность подключения корпоративных устройств к незащищенным гостевым сегментам беспроводных сетей компании. При использовании корпоративных устройств в гостевых сегментах беспроводных сетей атакующий может перехватить аутентификационную информацию и получить несанкционированный доступ к защищаемой инфраструктуре и информации конфиденциального характера;
- неконтролируемые информационные потоки. Основной канал утечки защищаемой информации легитимными пользователями – использование внешних запоминающих устройств и внешних сервисов обмена информацией (почта, файловые хранилища). Кроме того, риск заражения вредоносным программным обеспечением повышается в случае подключения внешних накопителей к корпоративной информационной системе.
Устранение выявленных уязвимостей
При реализации мероприятий по устранению выявленных уязвимостей в первую очередь необходимо рассматривать возможность установки обновлений от производителей программного обеспечения, устраняющих обнаруженные эксплуатационные уязвимости.
Если отсутствует возможность обновления или обновление программного обеспечения не устраняет выявленную уязвимость, то в зависимости от выбранных параметров классификации уязвимостей (критичность уязвимости, потенциальные последствия от ее реализации) должны быть выбраны дополнительные меры обеспечения информационной безопасности.
При выборе дополнительных мер обеспечения информационной безопасности нужно исходить из следующих основных предпосылок:
- дополнительные меры должны относиться к процессам обеспечения информационной безопасности, а не к устранению конкретной проблемы;
- дополнительные меры должны быть направлены в первую очередь на контроль состояния информационной безопасности;
- средства защиты информации, реализующие дополнительные меры, должны быть не только направлены на автоматизацию процессов обеспечения информационной безопасности, но и осуществлять функции контроля;
- реализация дополнительных мер не должна привносить в защищаемую систему дополнительные уязвимости.
Порядок выбора дополнительных мер отражен на рисунке.
Рисунок. Схема выбора дополнительных мер обеспечения информационной безопасности
Устранение типовых выявленных уязвимостей
Для устранения типовых уязвимостей в большинстве случаев необходимо реализовать следующий комплекс мероприятий.
- Управление конфигурациями. Конфигурация компонентов ИТ-инфраструктуры, в том числе средств защиты информации, должна отвечать требованиям корпоративной политики информационной безопасности. Со стороны ответственных за обеспечение информационной безопасности должны осуществляться мероприятия по контролю конфигураций компонентов на периодической основе.
- Управление обновлениями. Ответственные за обеспечение информационной безопасности должны отслеживать и контролировать необходимость установки обновлений как общесистемного программного обеспечения, так и прикладного.
- Управление изменениями. Внесение существенных изменений в информационные системы должно сопровождаться тестированием реализованных механизмов информационной безопасности. Существенными изменениями могут считаться: изменения мажорной версии системы или ее компонентов, изменения, касающиеся архитектуры системы, изменения состава или функционала средств защиты информации и др.
- Управление уязвимостями (в том числе отслеживание новых уязвимостей и оценка применимости атак, направленных на эксплуатацию такой уязвимости в существующей ИТ-инфраструктуре). Необходимо определить причины неэффективности существующего в настоящий момент в компании процесса управления уязвимостями. Внести соответствующие изменения в документы, формализующие порядок реализации и контроля процесса. Использовать подход, связанный с оценкой рисков, которые обусловлены воздействием на ИТ-инфраструктуры через выявленные уязвимости и последствиями от таких воздействий.
Заключение
Выявление уязвимостей – периодический процесс, частота повторения которого должна зависеть как от критичности обрабатываемой в ИТ-инфраструктуре информации, так и от особенностей самой инфраструктуры. Устранение выявленных уязвимостей – это процесс постоянного совершенствования системы обеспечения информационной безопасности, реализация которого позволит устранить существующие уязвимости и снизить вероятность возникновения новых.