|
|
 |
|
|
 |
«Информзащита»: ТОП-10 уязвимостей и недостатков, выявленных при аудитах ИБ в 2014 году
«Информзащита» представила аналитику по результатам более 40 проектов в области комплексных и технических аудитов ИБ, проведенных в 2014 году. Экспертами был определен ТОП-10 самых распространенных уязвимостей и недостатков, выявленных в компаниях из разных областей бизнеса: финансы и телеком, транспортные организации и нефтегазовая промышленность.
Результаты проведенных аудитов показали следующее:
Большинство обнаруженных уязвимостей связано с процессом управления доступом. Так, например, часто встречаются отсутствие или некорректная настройка парольных политик различных компонентов ИТ-инфраструктуры, или использование небезопасных протоколов удаленного доступа. Несмотря на повышение из года в год осведомленности сотрудников в области ИБ, проблемы отсутствия парольных политик и паролей по умолчанию остаются актуальными.
Например, до сих пор часто можно встретить использование протокола TELNET для внутреннего администрирования, что в совокупности с некорректными настройками сетевого оборудования, приводящими к уязвимостям класса «ARP Cache Poisoning», создает риски раскрытия аутентификационных данных сетевых администраторов внутренним злоумышленником.
Использование средств защиты информации не всегда является оптимальным и зачастую используется «для галочки». Так, например, в большинстве компаний для средств обнаружения вторжений не настроены своевременное обновление сигнатур угроз и оповещения в случае обнаружения угрозы; для межсетевых экранов некорректно настроены правила фильтрации сетевого трафика.
Традиционно мало внимания уделяется процессу управления изменениями ИТ-инфраструктуры, и нередко проводимые изменения никак не документируются. Для них также не производится оценка рисков информационной безопасности, что делает невозможным принятие информированных решений о целесообразности проведения изменений, а также о необходимых мерах снижения рисков ИБ. Данный подход зачастую приводит к появлению уязвимостей в информационной инфраструктуре в результате изменений, а также нерациональному расходу ресурсов на приобретение средств защиты.
Замыкает список наиболее часто встречающихся уязвимостей отсутствие корректных настроек политик аудита событий ИБ. Например, отсутствие настройки регистрации событий некоторых компонентов ИТ-инфраструктуры, отсутствие требований к хранению журналов зарегистрированных событий, а также отсутствие централизованного сервера хранения зарегистрированных событий.
Наиболее распространенные уязвимости и недостатки:
Не настроены или некорректно настроены парольные политики. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET. Аудит событий не настроен или настроен некорректно. Межсетевые экраны содержат избыточные правила. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning». Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN. Некорректно настроены ограничения прав доступа к системным файлам. Денис Хлапов, архитектор проектов по аудитам:
«Как мы видим, большинство обнаруженных уязвимостей относятся к некорректному управлению доступом и недостаткам безопасности сетевой инфраструктуры. При этом большей частью обнаруженных уязвимостей смогли бы воспользоваться внутренние злоумышленники, тогда как внешний периметр защищен достаточно хорошо. Тем не менее, наиболее распространенные уязвимости являются критичными и могут принести существенный вред бизнесу компаний в случае их эксплуатации злоумышленником. Без сомнения, компаниям нужно больше внимания уделять процессам управления доступом, изменениями и обновлениями. Также необходимо периодически проводить внутренние аудиты ИБ, анализ защищенности периметра и оценку рисков».
Выводы:
Приведенные выше уязвимости могут позволить инсайдеру повысить свои привилегии в инфраструктуре вплоть до административных. Такое положение дел может грозить как компрометацией критичных данных, так и нарушением штатного функционирования бизнес-процессов. Учитывая, что практически в каждом проводимом аудите были обнаружены недостатки настроек регистрации событий информационной безопасности, расследование возможных действий инсайдера будут крайне затруднительны.
В настоящее время видно стремление многих компаний укрепить безопасность внешнего периметра информационной инфраструктуры, при этом далеко не всегда учитываются риски действий инсайдеров. При данном подходе к обеспечению информационной безопасности так же не учитывается понятие «эшелонированности» системы защиты. При компрометации какого-либо внешнего ресурса (например, web-сервера) внешний злоумышленник с гораздо больше вероятностью получит доступ к критичным данным во внутренней сети компании. Проведенные нами аудиты явно демонстрируют пренебрежение компаний внутренней безопасностью ради защиты от атак извне. Такой подход можно понять, но, безусловно, он не является корректным и может привести к существенным потерям при удачных действиях как внешних злоумышленников, так и инсайдеров.
Контактное лицо: Ирина Кузнецова (написать письмо автору)
Компания: ЗАО НИП "Информзащита" (все новости этой организации)
Добавлен: 14:25, 17.02.2015
Количество просмотров: 724
| ГИГАНТ - Компьютерные системы: госзакупки серверов выросли на 42%, ГИГАНТ, 17:18, 12.07.2026, Россия |
172 |
| СЕО компании «ГИГАНТ — Компьютерные системы» Сергей Семикин подвел итоги 2025 года и спрогнозировал динамику ИТ-рынка на 2026-й, он рассказал о реальных драйверах роста серверов и СХД, изменении структуры госзакупок и переходе заказчиков к расчету совокупной стоимости владения вместо ажиотажных закупок. |
|
| Наблюдаемость становится инструментом управления цифровым бизнесом: итоги конференции Observability Day 2026, RedLab, 17:17, 12.07.2026, Россия |
170 |
| Ключевой проблемой остается разрыв между ИТ и бизнесом: технические команды оперируют инфраструктурными метриками (SLO, SLI, SLA, MTTR), тогда как бизнесу необходимы показатели, отражающие влияние цифровых систем на финансовые и операционные результаты. Участники отметили, что observability помогает объединить эти уровни и и синхронизировать цели ИТ и бизнеса. |
|
| CICADA8 автоматизировала комплаенс-аудит подрядчиков, CICADA8, 17:16, 12.07.2026, Россия |
165 |
| Разработчик решений по управлению уязвимостями и цифровыми угрозами в реальном времени CICADA8 добавил модуль «Опросы» в платформу CyberRating. Решение автоматизирует аудит внутренних процессов информационной безопасности контрагентов, которые невозможно оценить исключительно техническими средствами. |
 |
| ПО мониторинга и управления «Гравитон» совместимо с РЕД ОС 8, «Гравитон», 17:15, 12.07.2026, |
174 |
| Компании «Гравитон», разработчик и производитель российской вычислительной техники, и РЕД СОФТ, разработчик программного обеспечения, объявили о подтверждении совместимости программного обеспечения мониторинга и управления «Гравитон» с российской операционной системой РЕД ОС 8. |
|
| ГК «Умные решения» модернизировала сетевую инфраструктуру АПК «Камский», Умные решения, 17:13, 12.07.2026, Россия |
168 |
| Группа компаний «Умные решения» завершила проект по модернизации сетевой инфраструктуры АПК «Камский» (бренд «Сосновоборская»). В рамках проекта компания спроектировала и создала современную отказоустойчивую сетевую инфраструктуру и защищенный периметр сети на базе решений Qtech и Ideco. |
 |
|
 |
|
 |
|
|
Разделы //
Новости по странам //
Сегодня у нас публикуются //
|
|