3 мелкие ошибки, приводящие к крупным проблемам

8 Мая 2020

Так случается, что иногда, неизвестные проблемы или упущенные из виду недочеты, становятся причиной крупного взлома или кибератаки, после которой все конфиденциальные данные ушли в руки хакером, а важные файлы уничтожены. Такими маленькими проблемами могут быть недописанный символ в конфигурации сервера, встроенные сервер в офисном принтере, забытый аккаунт, имеющий привилегии и т.д.

Все компании, используют современные технологии, мощные антивирусные комплексы, SIEM системы и т.д. но при этом забывают о различных мелочах, которые тем не менее, могут дать небольшую лазейку для кибератаки. Забытый не обновленный патч на старом компьютере, который используется 2 раза в месяц, тоже может быть серьезной угрозой для корпоративной сети. Это первая точка входа, а достаточно хакеру получить доступ к локальной сети, грязное дело не заставит себя долго ждать.

И так, посмотрим на несколько частых мелких ошибок:

1. Ошибки в конфигурации SSL сервера

На сегодняшний день, SSL теряет свою репутацию, по причине не слишком безопасных сессий, и имеет некоторые слабые моменты в безопасности. Однако, администраторы, конфигурируя серверы, обычно даже не используют и эти встроенные возможности. Только около 20% всех сайтов, редиректят пользователей на защищенные серверы, для проведения аутентификации, и до 70% всех серверов, передают данные в виде обычного текста.

Эти данные были получены при глобальном исследовании одной известной компании. Также же они отмечают, что новые инструменты, позволяют инициировать DDOS-атаки, на SSL серверы, без использования ботнет-сети. Уязвимость позволяет злоупотреблять переустановкой связей, таким образом, атаки могут проходить с помощью одного единственного устройства.

Получается, что организации, на серверах которых в настройках разрешена данная функция, автоматически подвергают себя опасности. Эксперты утверждают, что в данной функции нет никакого смысла, и ее можно смело отключать.

2. Забытый привилегированный аккаунт

Очень часто, администраторы даже не меняют учетные данные по умолчанию, не говоря о сложных паролях. Однако, есть и сложные пароли, которые редко используются и забываются. Реальный пример.

Крупная компания, из списка Fortune 500, которая считала, что максимально позаботилась о своей безопасности, была серьезно атакована. Взлом произошел через забытый администраторский аккаунт на системе Siemens Rolm PBX, на аккаунте которой был достаточно серьезный пароль. Однако, компания, проводившая пен-тест, использовала данный аккаунт, для создания клона электронной голосовой почты, которая принадлежала службе поддержки компании. После этого, они ждали звонок, и затем выманивали учетные данные у звонящего. Таким образом, хакеры легко получили доступ к аккаунту, даже заполучив пароль двухфакторной аутентификации. Далее дело за малым, получив доступ в корпоративную сеть, достаточно запустить один скрипт, чтобы началась кибератака.

Это история учит еще одному правилу. Даже старое оборудование, может быть уявзвимым. Старые не используемые аккаунты лучше удалять. Всегда используйте сложные пароли и двухфакторную аутентификацию. Никому не передавайте личные учетные данные.

3. Не полная информация об используемом оборудовании в сети

МФУ, сканеры, VOIP-устройства и другие устройства, в них обычно встраивается веб-сервер, который соответственно никак не защищен. По сути, ни одно это устройство не требует подключения к глобальной сети, и более того, его не стоит подключать к интернету.

Исследователи обнаружили, что копирующее оборудование различных фирм, например Sharp и Ricoh, сканеры фирмы HP и некоторые другие устройства, часто видны в интернете. И любой пользователь может получить к ним доступ.

Хакеры могут выкрасть архивы копирования документы, подслушивать разговоры через VOIP-телефонию и т.д. Ключ к успеху в данном случае, это найти такие уязвимости раньше, чем их найдут злоумышленники.

На сегодняшний день, это проблема является глобальной. Любое устройство получает доступ к глобальной сети. Все, где встроен модуль GSM или модуль мобильной связи. Любые устройства, используемые GPS, также автомобильные сигнализации, и, кроме этого, еще и SCADA оборудование, подвержены атакам. Они не защищены, они общедоступны в интернете, а это означает, что любой, может получить к ним доступ.

Хакеры успешно взламывали автомобильные сигнализации, и удаленно заводили автомобиль, с помощью одного только смартфона. А если представить, что оборудование SCADA систем тоже уязвимо, и любой может получить к нему доступ, сразу видятся фильмы об апокалипсисе.

В завершении хочется сказать, хороший антивирусный комплекс не убережет компании от кибератаки, если в сети будет много упущенных моментов, подобных тем, которые мы описали. Однако, хороший антивирусный комплекс, например от компании McAfee, с большим количеством надстроек и интеграцией с разными система, такими как SIEM, DLP и т.д., помогут уменьшить вероятность подвернуться кибератаке в несколько раз.