Тесты на проникновение во внешнюю инфраструктуру позволяют искать уязвимости в компонентах ИБ, открытых для внешнего мира. Внутреннее сетевое пентестирование заключается в составлении карты сети перед проведением тестов на безопасность выявленных элементов: серверов, Wi-Fi, сетевого оборудования, рабочих станций и т. д. Отчет, выданный по результатам тестов, позволяет понять механизмы обнаруженных уязвимостей, чтобы воспроизвести и устранить их.
Ниже перечислены распространенные уязвимости и способы борьбы с ними.
Недостатки протоколирования и мониторинга
Отсутствие протоколирования и мониторинга является как техническим, так и организационным недостатком, который позволяет злоумышленникам как можно дольше сохранять свое положение в сети.
Как и в случае с сегментацией сети, важно отметить, что хорошая практика ведения журналов и мониторинга не гарантирует максимальной защиты от атак, но она остается хорошим способом обнаружения необычных событий и вторжений и, таким образом, уменьшения их воздействия. Каковы основные принципы и механизмы?
Большинство элементов, реализуемых при коммуникации в сети (обмен информацией, данными и т. д.), позволяют хранить информацию об этом. Действительно, все работающие системы и приложения «регистрируют» все происходящие события. Аналогичным образом, маршрутизаторы, прокси-серверы и брандмауэры, а также точки доступа отслеживают каждый пакет.
Эффективный злоумышленник всегда стирает свои следы после компрометации одной или нескольких машин в сети. Это делается для того, чтобы скрыть его присутствие от глаз администратора взломанной сети и сохранить свое положение на взломанных машинах как можно дольше. Поэтому хорошее управление журналами очень полезно для быстрого обнаружения вторжений и эффективного реагирования.
Чтобы облегчить управление и эксплуатацию журналов, рекомендуется централизовать их в области внутренних серверов, чтобы облегчить администрирование. Во-вторых, необходимо внедрить программы (агенты) для мониторинга и синхронизации всех событий, перечисленных в ваших журналах, на других машинах.
Это важно, поскольку в случае взлома машины, скорее всего, журналы будут уничтожены злоумышленником. Централизация, синхронизация и дублирование журналов гарантирует, что копия всегда будет доступна.
Человеческие уязвимости и атаки с применением социальной инженерии
Помимо технических недостатков, проблем с конфигурацией или внедрением, уязвимостью, которой чаще всего пользуются злоумышленники для компрометации ИБ, остается человек. Сотрудники вашей компании по-прежнему являются самым слабым звеном в системе кибербезопасности, злоумышленники знают это, и новости об успешных кибератаках доказывают это!
Отчет IBM о статистике фишинговых атак показывает, что средняя стоимость утечки данных в 2018 году составила 3,9 млн долларов. А в своем отчете об интернет-преступности за 2019 год ФБР подсчитало, что атаки BEC (Business Email Compromise — атаки, в которых мошенники выдают себя за руководителей компаний или продавцов, чтобы обманом заставить сотрудников перевести платежи на банковские счета, контролируемые злоумышленниками) обошлись компаниям по всему миру примерно в 1,6 млрд евро.
Принцип атак социальной инженерии прост, и их реализация в большинстве случаев не требует особых технических знаний. Речь идет о том, что злоумышленник полагается на психологические пружины человека, а затем использует социальные навыки для получения или компрометации информации о компании или ее ИТ-системах (приложениях, внешней инфраструктуре, внутренней сети, всей или части информационной системы, если обобщить).
Как защититься?
В последние годы было много примеров успешных атак с использованием социальной инженерии на малые, средние и крупные компании. И последствия часто бывают разрушительными и необратимыми. Однако существуют простые способы ограничить воздействие атак социальной инженерии.
Во-первых, продумайте и реализуйте стратегию безопасности, адаптированную к вашим задачам и угрозам. Шифрование всех систем, сегментирование сети, строгое управление доступом и идентификацией, уменьшение поверхности атаки [и т. д.] — все это способы предотвращения атак или уменьшения их воздействия.
И прежде всего, проверяйте надежность своих систем с помощью тестов на проникновение во внешнюю инфраструктуру или внутреннюю сеть. Тесты на проникновение остаются лучшим решением для проверки безопасности ваших систем от внешних и внутренних злоумышленников. Принцип прост: выявить потенциальные уязвимости и быстро устранить их до того, как ими воспользуются злоумышленники.
Затем проведите тесты по социальной инженерии — своими силами или с привлечением специализированной третьей стороны. Это позволит вам оценить поведение ваших сотрудников, когда они сталкиваются с безобидными на первый взгляд письмами, звонками или физическими вторжениями в ваши помещения (например, чтобы подбросить заминированные USB-флешки). Результаты этих тестов можно использовать для оптимизации осведомленности ваших команд.
Наконец, постоянно повышайте осведомленность и обучайте всех своих сотрудников, потому что кибербезопасность должна быть делом каждого. Вы можете организовывать собрания коллектива по повышению осведомленности или проводить учебные курсы, организуемые вашими командами, специализирующимися на вопросах кибербезопасности. Существуют также сторонние учебные курсы для повышения осведомленности об атаках с использованием социальной инженерии. Эти нетехнические учебные курсы способствуют пониманию механизмов кибер-атак с помощью фишинга, вишинга, клонов интерфейса, ransomware и т. д.