Содержание
- Что важно знать об устранении уязвимостей
- Проблема № 1. Неполная классификация активов
- Проблема № 2. Неактуальная информация об активах
- Проблема № 3. Ошибки приоритизации уязвимостей
- Проблема № 4. Ошибки в определении сроков устранения уязвимостей
- Проблема № 5. Несвоевременное устранение уязвимостей
- Выводы
Количество новых уязвимостей ежегодно увеличивается. За 2020 год в базе данных NVD (National Vulnerability Database) было опубликовано более 18 тысяч новых уязвимостей, в 2021-м — более 20 тысяч, а в 2022-м — свыше 25 тысяч. Каждый день в среднем обнаруживается более 60 уязвимостей. Ситуация обостряется из-за того, что иностранные вендоры прекратили поставлять обновления для своего ПО. Российские пользователи остались без поддержки мировых разработчиков, а значит, вопрос работы с уязвимостями становится все более актуальным.
В 2022 году мы написали инструкцию по организации vulnerability management в любой IT-инфраструктуре и рассказали, как выстроить процесс управления уязвимостями и правильно расставить приоритеты при их устранении. Пришло время узнать, насколько эффективно справляются с этим российские компании.
Мы изучили результаты 30 пилотных проектов по внедрению MaxPatrol VM, которые проводились в государственных учреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 по февраль 2023 года. В выборку вошли проекты, в которых объем работ и состав пилотной зоны позволили получить объективные данные о процессах управления уязвимостями. В среднем в рамках одного проекта было проанализировано около полутора тысяч активов. Мы узнали, как компании работают с уязвимостями инфраструктуры и с какими трудностями сталкиваются при выстраивании эффективной киберзащиты. Расскажем о самых главных проблемах и предложим решение для каждой.
Что важно знать об устранении уязвимостей
Устранение уязвимостей осуществляется в несколько этапов.
1. Определение активов организации и уровня их значимости
Процесс управления уязвимостями начинается с анализа информационной инфраструктуры компании. Для этого необходимо собрать данные об активах.
Актив — это информационная система или узел, имеющие ценность для организации и требующие защиты от киберугроз.
Активами могут быть такие объекты инфраструктуры, как серверы, сетевое оборудование, рабочие станции. Из общего числа необходимо выделить наиболее значимые активы, атаки на которые могут нанести компании серьезный урон.
2. Выявление уязвимостей и определение уровня их опасности
Уязвимость — это недостаток в IT-системе, используя который можно нанести непоправимый ущерб как отдельному активу, так и инфраструктуре в целом, реализовать недопустимые для организации события, нарушить технологические процессы и работу клиентских систем, украсть денежные средства или конфиденциальную информацию.
На этом этапе необходимо выявить и приоритизировать уязвимости: определить, какие из них следует устранить в первую очередь.
3. Устранение уязвимостей в запланированные сроки
В зависимости от уровня опасности уязвимости и значимости актива, на котором она обнаружена, устанавливаются плановые сроки устранения. В первую очередь мы рекомендуем устранять трендовые уязвимости.
Трендовые уязвимости — это опасные уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.
4. Контроль устранения уязвимостей
На этом этапе определяется реальный уровень защищенности инфраструктуры. Важно убедиться, что уязвимости устранены в заданные сроки, а системы защищены от злоумышленников. После этого необходимо вновь проверить активы на наличие уязвимостей.
Проблема № 1. Неполная классификация активов
В 4 из 5 проектов оставались активы, не отнесенные ни к какому уровню значимости. В среднем удавалось классифицировать лишь 37% активов пилотной зоны. Неполная классификация активов повышает риск того, что значимые для бизнес-процессов системы не попадут в зону сканирования и останутся уязвимыми для атак злоумышленников.
Мы рекомендуем начинать процесс управления уязвимостями с оценки и классификации активов. Это позволит выявить наиболее важные из них и обеспечить их защиту прежде всего.
В ходе пилотных проектов активам присваивался высокий, средний или низкий уровень значимости. Высокую значимость имели контроллеры домена, почтовые серверы и серверы баз данных. К активам среднего уровня значимости относились другие типы серверов (например, антивирус) и рабочие станции администраторов. Активами низкой значимости, как правило, были рабочие станции пользователей.
Еще на этапе классификации активов компании могли столкнуться с рядом трудностей, в частности при определении уровня их значимости. Только в 20% проектов удалось отнести каждый актив к той или иной группе.
Начните оценку актива с определения недопустимых для бизнеса событий. Это поможет выявить активы высокой значимости. К ним в первую очередь стоит относить целевые и ключевые системы
Целевая система — информационная система, воздействие на которую может непосредственно привести к наступлению недопустимого для бизнеса события.
Ключевая система — информационная система, без воздействия на которую злоумышленник не сможет развить атаку на целевую систему, или система, взлом которой существенно упростит последующий сценарий атаки для компрометации целевых систем.
После оценки убедитесь, что все активы классифицированы. Это необходимо, чтобы не пропустить важные информационные системы и другие значимые элементы инфраструктуры организации.
Проблема № 2. Неактуальная информация об активах
В 75% компаний информация об активах своевременно не обновлялась: сведения примерно о трети активов были неактуальны. Такая ситуация опасна для компании, так как некоторые активы могут оказаться непросканированными и уязвимости на них не будут обнаружены вовремя.
Информационная инфраструктура компаний постоянно меняется: в среднем за неделю на каждые 100 существующих появляется 3 новых актива. Сведения о них необходимо поддерживать в актуальном состоянии.
При проведении пилотных проектов компании определяли политику управления активами, включая сроки актуализации данных о них. В среднем информация об активах высокой значимости считалась актуальной в течение 10 дней, об активах средней значимости — в течение 18 дней, низкой значимости — в течение 27 дней. В 75% компаний установленные правила не выполнялись: доля активов, сведения о которых были устаревшими, составляла в среднем 33%. В большинстве случаев это происходило из-за нерегулярного сканирования инфраструктуры.
Обеспечение защищенности организации в процессе управления уязвимостями требует охвата всей IT-инфраструктуры. Необходимо регулярно проводить инвентаризацию, чтобы обновлять информацию об активах. В противном случае уязвимости в наиболее важных системах не будут своевременно обнаруживаться и устраняться и злоумышленник сможет провести успешную атаку.
Проблема № 3. Ошибки приоритизации уязвимостей
24% компаний не учитывали значимость актива, на котором обнаружена уязвимость. Большинство компаний не принимали во внимание уровень опасности уязвимости, ее трендовость и наличие публичного эксплойта. Это повышает риск пропустить наиболее опасную для инфраструктуры уязвимость.
Управление уязвимостями включает в себя их своевременное выявление, анализ и устранение. В результате сканирования одной пилотной зоны выявлялись десятки, а иногда и сотни тысяч различных уязвимостей. Устранить такое количество недостатков в кратчайшие сроки — сложная задача, поэтому прежде всего необходимо расставить приоритеты.
В среднем в пределах одной пилотной зоны выявлялось более 700 трендовых уязвимостей: примерно 53 на каждые 100 активов.
Около четверти компаний выстроили процесс приоритизации выявленных уязвимостей без учета важности активов, на которых они были обнаружены. В 76% проектов при формировании политик устранения не учитывался уровень опасности уязвимости, а в 59% — не рассматривалось наличие публичного эксплойта.
Мы советуем обращать внимание на популярность уязвимости среди злоумышленников — ее трендовость. Часто популярными становятся недавно опубликованные уязвимости, для которых еще не выпущены обновления безопасности. Однако трендовыми могут быть и уязвимости прошлых лет: по данным Positive Technologies, они остаются актуальными и активно применяются атакующими. Такие уязвимости необходимо устранять в первую очередь, поскольку злоумышленники часто используют их в цепочках атак и для многих из них существует публичный эксплойт.
Согласно отчету Securin, 76% уязвимостей, которые используются группировками вымогателей, были впервые обнаружены в 2010–2019 годах.
В ходе пилотных проектов трендовые уязвимости были выявлены в 36% активов высокой значимости, в среднем четыре уязвимости на один актив. Чаще всего они встречались в компонентах Windows и других продуктах Microsoft.
Примеры трендовых уязвимостей
| Уязвимость | Тип | ПО | Уровень опасности | Оценка CVSS |
|---|---|---|---|---|
| CVE-2020-0646 | Удаленное выполнение кода | Microsoft .NET Framework | Критический | 9,8 |
| CVE-2021-40444 | Удаленное выполнение кода | Microsoft Office | Высокий | 7,8 |
| CVE-2021-34527 | Удаленное выполнение кода | Служба печати Windows | Высокий | 8,8 |
| CVE-2020-17087 | Повышение привилегий | Windows Kernel | Высокий | 7,8 |
| CVE-2021-41379 | Повышение привилегий | Установщик Windows | Высокий | 7,8 |
| CVE-2019-0708 | Удаленное выполнение кода | Служба удаленных рабочих столов (RDP) | Критический | 9,8 |
| CVE-2021-1675 | Повышение привилегий | Служба печати Windows | Высокий | 8,8 |
| CVE-2019-0541 | Удаленное выполнение кода | Модуль MSHTML | Высокий | 8,8 |
| CVE-2022-22026 | Повышение привилегий | Windows CSRSS | Высокий | 7,7 |
| CVE-2022-35744 | Удаленное выполнение кода | Протокол PPP (Point-to-Point Protocol) в Windows | Высокий | 8,5 |
Каждый день исследователи обнаруживают десятки новых уязвимостей, и при проведении пилотных проектов Positive Technologies регулярно пополняет базу знаний о трендовых уязвимостях для своих продуктов.
В процессе приоритизации уязвимостей обращайте внимание на следующие факторы:
- Уровень значимости актива, на котором обнаружена уязвимость. Важно оценить, к каким негативным последствиям может привести ее эксплуатация.
- Трендовость уязвимости и наличие публичного эксплойта для нее. Если уязвимость активно используется в реальных атаках, необходимо устранить ее как можно скорее.
- Доступность актива и привилегии, необходимые для эксплуатации уязвимости. Это позволит понять, кто может воспользоваться уязвимой системой и сможет ли внешний злоумышленник провести атаку.
- Уровень опасности уязвимости по базовой системе оценки CVSS.
Проблема № 4. Ошибки в определении сроков устранения уязвимостей
Во всех компаниях минимальные сроки устранения уязвимостей превышали время до начала эксплуатации уязвимостей в реальных атаках с момента публикации информации о них. Промедление может стать причиной успешной атаки на организацию.
Как правило, заданные сроки устранения уязвимостей зависели от значимости актива и составляли в среднем 7 дней для активов высокой значимости, 14 дней для активов средней значимости и 28 дней для остальных активов. Кроме того, на сроки мог влиять уровень опасности уязвимости. Например, в некоторых пилотных проектах для устранения уязвимостей высокого и критического уровней устанавливались минимальные сроки, сравнимые со сроками для активов высокой значимости.
К сожалению, злоумышленники не выжидают недели с момента публикации уязвимостей, а стараются сразу их проэксплуатировать, пока потенциальные жертвы не установили обновления безопасности. По данным аналитиков Rapid7, в 2022 году киберпреступники разрабатывали эксплойты быстрее, чем когда-либо: 56% уязвимостей начинали эксплуатироваться ими в течение семи дней после публичного раскрытия; этот показатель на 12% больше, чем в 2021 году, и на 87% больше, чем в 2020 году.
По данным Rapid7, 56% уязвимостей начинают эксплуатироваться злоумышленниками в течение семи дней после публичного раскрытия.
В отчете Palo Alto Networks говорится, что в 2022 году злоумышленники начинали сканирование на наличие уязвимостей в течение первых 15 минут после публикации информации в CVE. В результате сканирования обнаруживаются активы, которые можно скомпрометировать. Некоторые преступники немедленно используют найденные уязвимости для взлома, а особенно предприимчивые продают данные о них тем, кто намерен провести сложные атаки.
Необходимо устанавливать минимальные сроки устранения уязвимостей на активах высокой значимости, особенно если уязвимости являются трендовыми, имеют высокий или критический уровень опасности. Например, ФСТЭК рекомендует устранять наиболее опасные уязвимости в течение 24 часов. Мы также советуем обращать повышенное внимание на трендовые уязвимости, обнаруженные на сетевом периметре, и устранять их в первую очередь.
Проблема № 5. Несвоевременное устранение уязвимостей
В каждой третьей компании нарушалась политика устранения уязвимостей. Около 30% активов высокой значимости содержали в среднем 7 просроченных трендовых уязвимостей.
Несоблюдение заданных сроков позволяет злоумышленникам воспользоваться уязвимостью системы и совершить успешную атаку. На основании результатов тестирования на проникновение мы выяснили, что нарушить работу государственного учреждения можно за шесть дней, а украсть денежные средства из финансовой организации — меньше чем за месяц. Для реализации недопустимого события злоумышленникам требуется около 10 дней. А в течение месяца преступник может реализовать 89% событий, которые окажут серьезное негативное влияние на деятельность компании.
Например, в конце 2021 года киберпреступники атаковали министерство обороны Бельгии, в результате чего компьютерные системы учреждения вышли из строя на несколько дней. Во время атаки злоумышленники эксплуатировали критическую уязвимость удаленного выполнения кода CVE-2021-44228 в библиотеке Apache Log4j, известную как Log4Shell.
В ходе другого инцидента поставщик медицинских услуг в Канаде был одновременно атакован двумя разными шифровальщиками: Karma и Conti. Злоумышленники скомпрометировали данные организации и зашифровали серверы, оставив записку с требованием выкупа. Обе группы вымогателей получили доступ через эксплойты ProxyShell, нацеленные на уязвимости CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 платформы Microsoft Exchange Server.
Интересно, что в последнем случае первоначальный доступ к корпоративным системам был получен более чем за три месяца до появления шифровальщиков. По нашим данным, часто, обнаружив уязвимость и осуществив ее эксплуатацию, злоумышленники продают доступ на теневом рынке. Подобное предложение пользуется спросом у вымогателей, которые прибегают к услугам «брокеров доступа» для реализации атак.
Необходимо выделять ресурсы на своевременное устранение уязвимостей и сделать этот процесс регулярным и контролируемым.
Выводы
Чтобы предотвратить эксплуатацию уязвимостей и реализацию недопустимых событий, эффективно защитить отдельные сервисы и IT-инфраструктуру в целом, нужно принимать меры заранее. По результатам нашего исследования, для усиления кибербезопасности российским компаниям, независимо от сферы деятельности, рекомендуется проводить регулярную инвентаризацию и классификацию активов, учитывать значимость актива, опасность и трендовость уязвимости в процессе приоритизации, определять корректные сроки устранения уязвимостей и контролировать этот процесс.
Для выполнения этих рекомендаций целесообразно использовать современные системы vulnerability management. Применение специализированных инструментов обеспечивает своевременное устранение опасных уязвимостей на сетевом периметре и в IT-инфраструктуре организации. Регулярный контроль состояния целевых и ключевых систем позволит избежать недопустимых для компании событий, непосредственно связанных с эксплуатацией уязвимостей на важных активах. Кроме того, благодаря использованию современных систем, своевременно доставляющих информацию об опасных уязвимостях, организации могут более эффективно выполнять рекомендации ФСТЭК по срокам устранения уязвимостей. Поэтому не менее важно, чтобы используемые инструменты предоставляли данные о наиболее опасных для организации уязвимостях максимально быстро. MaxPatrol VM поможет выстроить четкий процесс управления уязвимостями на всех этапах и защитить компанию от реализации недопустимых событий.