Что может узнать о компании злоумышленник, взломавший СКУД?
Какие личные девайсы сотрудников особенно опасны с точки зрения ИБ?
Может ли Shadow IT стать причиной остановки завода?
Shadow IT — часть ИТ-инфраструктуры компании, которая находится вне поля зрения ИТ- и ИБ-служб. Во время пентестов мы регулярно находим и используем подобные системы для проведения атак, потому что они слабо защищены.
Мы легко получаем доступ к СКУД и системам видеонаблюдения заказчиков: их ОС и ПО обычно не обновляются по несколько лет, а значит, там есть критические уязвимости. Таким образом можно узнать много интересного о сотрудниках: ФИО, номера пропусков, график прихода и ухода. Если СКУД и видеонаблюдение входят в домен Active Directory, через них можно получить данные и о других системах компании. Зачастую именно они становятся плацдармом для развития атаки.
Внутренние самописные системы, развернутые без ведома ИТ- и ИБ-департаментов, тоже почти всегда имеют критические уязвимости. Они плохо задокументированы и в целом ненадежны. Их можно быстро взломать и использовать как прокси-серверы во время атаки.
Проблема бесхозных систем и устройств обычно возникает после модернизации ИТ-инфраструктуры. Старые решения выводятся из эксплуатации, но забытые серверы, коммутаторы и прочее оборудование продолжают работать. Мы находили в сетях заказчиков бесхозные устройства с аптаймом в 6,5 года! Один из самых интересных кейсов — старый сервер СКУД на Windows Server 2003 с данными администратора домена, который располагался в сегменте гостевой Wi-Fi-сети. Взломать его не составило труда, а полученный пароль подошел и к корпоративному Wi-Fi, и к контроллеру домена. Это был один из самых быстрых и легких наших пентестов.
Особенно опасны личные ресурсы системных администраторов, развернутые в сети компании. Самый распространенный пример — небольшие сайты. За ними плохо следят, а со временем о них вообще забывают. Мы как минимум раз в пару месяцев находим подобные сервисы в разных компаниях. Так, у одного из заказчиков обнаружили заброшенный личный сайт на IP-адресе одного из филиалов. На нескольких самописных страницах мы нашли SQL-инъекцию, которая позволила получить доступ к данным из всех БД. За несколько часов мы восстановили пароль администратора CMS Joomla, которая использовалась на сайте, и разместили шелл на сервере. С его помощью построили туннель до внутренней сети филиала, а оттуда добрались до серверов основного офиса.
Еще один тип Shadow IT — неконтролируемые BYOD-устройства (Bring Your Own Device). Сегодня многие компании разрешают сотрудникам использовать собственные электронные девайсы: флешки, телефоны, ноутбуки. Но никто не может гарантировать, что они не содержат вирусов или вредоносного ПО. Особенно опасны пользовательские точки доступа к корпоративной сети.
Сотрудники приносят на работу домашние роутеры, чтобы подключаться к Wi-Fi и не обременять себя проводами. Пароль для сети, как правило, ставится предельно простой, а тип шифрования выбирается произвольно. Такой роутер — отличное место для проникновения. Он приведет злоумышленника прямо в корпоративную сеть и избавит от необходимости искать точку физического подключения (обладая хорошей Wi-Fi-антенной, можно действовать с расстояния в несколько сотен метров). На одном из заводов мы обнаружили пользовательский роутер в сети АСУ ТП, хотя, согласно документам, она была полностью изолирована. Перехватить пакеты «рукопожатия» не составило труда, подобрать пароль — тоже. В итоге мы проникли в сеть и получили доступ ко множеству технологических процессов. Оказалось, точку доступа создали инженеры АСУ ТП, чтобы лишний раз не ходить в производственные помещения.
Файловые хранилища, онлайн-версии офисных программ и другие облачные сервисы — это практически гарантированная утечка информации. Неизвестно, как, когда и кто будет обрабатывать ваши данные. Кроме того, пользователи редко используют сложные пароли и двухфакторную аутентификацию, что сильно упрощает жизнь злоумышленникам. Угрозы возникают и при пересылке рабочих данных на личную почту.
Полностью избежать появления Shadow IT в большой компании практически невозможно. Но можно минимизировать количество «теневых» элементов и сделать их управляемыми. Главное — порядок.
Как уменьшить количество Shadow IT
- Регулярно проводите инвентаризацию ИТ-активов, чтобы исключить появление бесхозных устройств.
- Подключайте ИТ- и ИБ-отделы к обслуживанию всех систем.
- Организуйте централизованный процесс публикации самописных решений, чтобы о них своевременно узнавали ИТ- и ИБ-специалисты.
- Проводите периодическое сканирование внутренней сети, чтобы избежать появления неконтролируемых сервисов. Сканировать нужно все сегменты, а подозрительные хосты — либо отключать, либо инвентаризировать и передавать на контроль ИТ- и ИБ-подразделениям.
- Проводите сканирование внешнего периметра сети и следите за тем, чтобы все системы, опубликованные в интернете, были инвентаризированы. Лучше использовать сканеры безопасности: это позволит параллельно контролировать уязвимости периметра.
- Создайте отдельную изолированную сеть для личных устройств сотрудников. Нужно либо полностью отключить ее от главной сети, либо предоставлять пользователям максимально ограниченный доступ только к необходимым ресурсам. Например, для большинства веб-приложений пользователю требуются только 80-й и 443-й порты.
- Ограничьте работу сотрудников со сторонними внешними носителями и сделайте защищенные буферные АРМ для передачи информации с таких устройств.
- Используйте систему контроля доступа, которая будет пропускать в сеть только авторизованные устройства. Так вы предотвратите установку бесконтрольных Wi-Fi-точек и неразрешенных пользовательских девайсов.
- Проводите мероприятия по повышению ИБ-грамотности сотрудников, чтобы они не выкладывали файлы и документы компании в публичные облачные сервисы. Конечно, только организационными методами здесь не обойтись: по возможности заблокируйте доступ к популярным облачным ресурсам обмена информацией, а для контроля новых и малоизвестных облаков используйте DLP-систему.
Shadow IT в компаниях
Системы, в обслуживании которых не участвуют ИТ- и ИБ-подразделения. Например, СКУД и видеонаблюдение, за эксплуатацию которых обычно отвечают другие отделы. Они не допускают ИТ-шников к оборудованию, не следят за защитой и редко устанавливают обновления.
Бесхозные системы и железо. Часто появляются при модернизации ИТ-инфраструктуры и могут много лет работать «в тени», обрастая уязвимостями.
Самописные системы, о которых не знают ИТ- и ИБ-специалисты. Подразделения часто разворачивают подобное ПО для решения внутренних задач.
Личные ресурсы системных администраторов, развернутые в сети компании. Яркий пример — небольшие публичные сайты, созданные сотрудниками.
Неконтролируемые BYOD-устройства. Мобильные телефоны, флешки, ноутбуки. Особенно опасны пользовательские точки доступа к корпоративной сети (например, принесенные из дома роутеры).
Файловые хранилища, онлайн-версии офисных программ и другие облачные сервисы.
Файловые хранилища, онлайн-версии офисных программ и другие облачные сервисы — это практически гарантированная утечка информации.
Павел Волчков
заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»
Комментарий
Управлять можно только тем,
что можно измерить.
Питер Друкер
Под Shadow IT я понимаю не абсолютно всеми забытый элемент ИТ-инфраструктуры (так тоже бывает, но это не самая частая ситуация), а скорее тот, что по «историческим соображениям» работает сам по себе и не попадает в область действия корпоративных процессов. Он просто есть, о его существовании могут знать и служба ИТ, и служба ИБ, но никого не интересует, что с ним происходит, — лишь бы работал.
Кроме очевидных проблем технического характера для процессов обеспечения ИБ вроде банального «забыли — не обновили — взломали», Shadow IT влекут и проблемы для бизнеса.
Наличие любых неучтенных активов вносит неконтролируемую поправку в статистику, что негативным образом влияет на управленческие решения. Стремясь повысить уровень зрелости процессов ИТ и ИБ, организация проходит путь, в общем виде описываемый моделью CMMI. Ее уровни имеют много различных качественных описаний, но все они сходятся в том, что при переходе с третьего «определенного» на четвертый «управляемый» уровень происходит качественное изменение модели управления. От понятийной модели «нам кажется, что мы знаем, как должен быть выстроен процесс, и следуем этому» происходит переход к аналитической: «мы мониторим и измеряем фактическую реализацию процесса, оцениваем статистические показатели и принимаем управленческие решения на их основании».
Оценка эффективности процессов ИБ — сама по себе задача нетривиальная. Базовые метрики рассчитываются вполне легко, но их корреляция с уровнем реальной защищенности достаточно слабая. Простой пример — метрика по соотношению количества обновленных хостов к их общему количеству. В организации с 1000 хостов такой показатель можно довести до 99,9%, то есть обновлены будут 999 из 1000 хостов. Казалось бы, это прекрасный показатель. Но если исходить из базового принципа ИБ — «самого слабого звена», то и этого одного необновленного хоста будет вполне достаточно для компрометации всей инфраструктуры. Наличие Shadow IT дополнительно искажает показатели эффективности процессов ИБ.
Как ни странно, одним из неожиданных негативных эффектов Shadow IT является не его «невидимость», а, наоборот, излишняя «видимость» — с точки зрения процесса мониторинга событий ИБ. Речь идет о ситуации, когда из-за неоптимизированных настроек аудита возрастает поток паразитических событий, забивающих СЗИ и рассеивающих внимание первой линии.
Еще одна неочевидная проблема Shadow IT — негативный экономический эффект, который в первую очередь выражается в переплате за лицензии. Причем от этого скорее страдает служба ИТ, хотя и служба ИБ может нести потери. Например, при расчете количества лицензий на агенты для рабочих станций и серверов (endpoint) также повышаются внутренние затраты на всех процессах, связанных с мониторингом и реагированием на инциденты ИБ за счет необходимости их дополнительного разбора.
Повышение прозрачности и видимости сети в условиях их перманентного увеличения и усложнения является первоочередной задачей как ИТ-шников, так и ИБ-шников, решать которую необходимо сообща, но, как и любая комплексная задача, она не имеет простого решения.