Rambler's Top100
Реклама
 
Все новости Новости компаний

«Информзащита» представила топ-10 уязвимостей и недостатков за 2014 г.

18 февраля 2015

«Информзащита» представила аналитику по результатам более 40 проектов в области комплексных и технических аудитов ИБ, проведенных в 2014 году. 

Экспертами был определен ТОП-10 самых распространенных уязвимостей и недостатков, выявленных в компаниях из разных областей бизнеса: финансы и телеком, транспортные организации и нефтегазовая промышленность.

Результаты проведенных аудитов показали следующее:

Большинство обнаруженных уязвимостей связано с процессом управления доступом. Так, например, часто встречаются отсутствие или некорректная настройка парольных политик различных компонентов ИТ-инфраструктуры, или использование небезопасных протоколов удаленного доступа. Несмотря на повышение из года в год осведомленности сотрудников в области ИБ, проблемы отсутствия парольных политик и паролей по умолчанию остаются актуальными.

Например, до сих пор часто можно встретить использование протокола TELNET для внутреннего администрирования, что в совокупности с некорректными настройками сетевого оборудования, приводящими к уязвимостям класса «ARP Cache Poisoning», создает риски раскрытия аутентификационных данных сетевых администраторов внутренним злоумышленником.

Использование средств защиты информации не всегда является оптимальным и зачастую используется «для галочки». Так, например, в большинстве компаний для средств обнаружения вторжений не настроены своевременное обновление сигнатур угроз и оповещения в случае обнаружения угрозы; для межсетевых экранов некорректно настроены правила фильтрации сетевого трафика.

Традиционно мало внимания уделяется процессу управления изменениями ИТ-инфраструктуры, и нередко проводимые изменения никак не документируются. Для них также не производится оценка рисков информационной безопасности, что делает невозможным принятие информированных решений о целесообразности проведения изменений, а также о необходимых мерах снижения рисков ИБ.  Данный подход зачастую приводит к появлению уязвимостей в информационной инфраструктуре в результате изменений, а также нерациональному расходу ресурсов на приобретение средств защиты.

Замыкает список наиболее часто встречающихся уязвимостей отсутствие корректных настроек политик аудита событий ИБ. Например, отсутствие настройки регистрации событий некоторых компонентов ИТ-инфраструктуры, отсутствие требований к хранению журналов зарегистрированных событий, а также отсутствие централизованного сервера хранения зарегистрированных событий.

Наиболее распространенные уязвимости и недостатки:

 

  1. Не настроены или некорректно настроены парольные политики.
  2. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET.
  3. Аудит событий не настроен или настроен некорректно.
  4. Межсетевые экраны содержат избыточные правила.
  5. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов.
  6. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости
  7. Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning».
  8. Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений.
  9. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN.
  10. Некорректно настроены ограничения прав доступа к системным файлам.

 

Приведенные выше уязвимости могут позволить инсайдеру повысить свои привилегии в инфраструктуре вплоть до административных. Такое положение дел может грозить как компрометацией критичных данных, так и нарушением штатного функционирования бизнес-процессов. Учитывая, что практически в каждом проводимом аудите были обнаружены недостатки настроек регистрации событий информационной безопасности, расследование возможных действий инсайдера будут крайне затруднительны.

В настоящее время видно стремление многих компаний укрепить безопасность внешнего периметра информационной инфраструктуры, при этом далеко не всегда учитываются риски действий инсайдеров. При данном подходе к обеспечению информационной безопасности так же не учитывается понятие «эшелонированности» системы защиты. При компрометации какого-либо внешнего ресурса (например, web-сервера) внешний злоумышленник с гораздо больше вероятностью получит доступ к критичным данным во внутренней сети компании. Проведенные нами аудиты явно демонстрируют пренебрежение компаний внутренней безопасностью ради защиты от атак извне. Такой подход можно понять, но, безусловно, он не является корректным и может привести к существенным потерям при удачных действиях как внешних злоумышленников, так и инсайдеров.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Только 14% вендоров оперативно исправляют уязвимости, найденные исследователями безопасности

Хакеры выдают себя за экспертов по информационной безопасности

Хакеры могут атаковать разработчиков ПО, захватывая сторонние репозитории

Сбер представил интеллектуальную платформу управления уязвимостями

Число успешных кибератак на финансовые организации выросло вдвое

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.