Журнал "Information Security/ Информационная безопасность" #1, 2024

• 33 Управление Уязвимостями www.itsec.ru "Человеческий фактор" и киберпреступники-разведчики ЗначительноечислоИБ-инцидентов происходитиз-заошибокпользовате- лейиотсутствияпривычкисоблюдать правилацифровойгигиены.Нопри всейсвоейраспространенностичело- веческийфактор–далеконеедин- ственнаялазейкадлякибератак. И хакеры-одиночки,и кибепреступные группировкиведутактивнуюразвед- ку –ищутуязвимостив"оборонитель- ных"редутахпредприятий,которыеони рассматриваютвкачествепотенциаль- ныхжертв.Онипроизводятпоискучет- ныхданныхпользователейизчисла сотрудниковкомпаний,изучаютсете- вуюинфраструктуру,открытыепорты, незапароленныеканалывходас использованиемразличныхпротоколов. Болеетого,такиеданныезлоумыш- ленникипродаютдругдругу. Дляборьбысподобнымидействиями многиеорганизациииспользуютпентесты, ноэтопериодическиемероприятия, а хакерскоенападение,темболеецелена- правленное,можетбытьосуществленов любоймомент.Поэтомупомимопериоди- ческихтестированийнапроникновение защищенногопериметраследуетисполь- зоватьспециальныйинструментарий,кото- рыйведетпостоянныймониторингинфра- структурынапредметуязвимостей. Что такое ASM? Дляосуществлениямониторинга используютсяспециализированныереше- ния,такиекакASM-системы(AttackSur- faceManagement).Ониведутнепрерыв- ноеобнаружение,анализиустранение уязвимостейзащищенногопериметра организации.Всеэтидействияосуществ- ляются"сточкизренияхакера",тоесть исходяизтого,наскольковероятно использованиеуязвимостикиберпреступ- никамидляосуществлениянападения. ЗадачаASM–поставлятьслужбам информационнойбезопасностипред- приятияактуальнуюинформацию о состоянииегоинформационнойинфра- структуры,имеющихсяуязвимостях и путяхихустранения.Этивозможности ASMособенноактуальныдляорганиза- ций,которыеимеютразвитыеИТ, используютмножестворазличных системисервисов. Некоторыеизнихмогутиметьнедо- статочнуюзащитуилииспользовать устаревшееПО.Наконец,случается, чтоадминистраторыпросто"забывают" онекоторыхсистемах,которыепродол- жаютработать,нонеиспользуютсяком- паниейдлярешенияповседневных задач. Что умеет ASM? Перваяфункциональность,которую обеспечиваетASM-решение,–непре- рывныйаудитвнешнихресурсов.Эта задачаособенноважнадлякомпаний, которыеактивноиспользуютдляпро- движениянарынкеипривлечениякли- ентовинтернет-ресурсы. Созданиелендингадлярекламыи про- дажновогопродукта–обычнаяпракти- ка.Номногиеорганизации,ксожалению, забывают,чтоэтиресурсытребуютне меньшеговнимания,чем"основной"веб- сайт.Контрольмногочисленныхлендин- говсуспехомосуществляютASM. Вкачествепримераможнопривести опытоднойИТ-компании,котораяимеет широкуюфилиальнуюсеть.Ревизия интернет-ресурсовкомпании,проведен- наяспомощьюASM,показала,чтоей принадлежалоболеесотниуженеакту- альныхлендингов,причеммногиеизних содержалиформыдляотправкиклиент- скихзаявок,которыечастоиспользуются хакерамикакплохоохраняемая"лазейка" винфраструктурупредприятия. ДругаякомпанияблагодаряASMобна- ружилавсвоейинфраструктуре"забы- тую"подсеть,котораяпоявиласьпосле слияниясдругойкомпаниейиобъеди- ненияресурсов. ASMнетольковедетмониторинг ресурсоворганизации,ноипроверяет ихнауязвимостьврежиме24/7.При этомкаждаяизобнаруженныхуязвимо- стейоцениваетсясточкизренияее актуальности.Решениенаходитее в базезнанийMitreATT&CKиотправляет нанеессылкуадминистраторам,пред- упреждаяопотенциальнойугрозе. ЕщеоднафункциональностьASMсвя- занасмониторингомдарквеба,важной частитеневогоонлайн-рынка,которая используетсякиберпреступникамидля взаимодействияипродажискомпромети- рованныхданных.Дарквебчастоисполь- зуетсяприподготовкеатакнасамыераз- ныеорганизации,иупоминаниеназвания компаниивнем–поводдлятого,чтобы усилитьвниманиек защитекорпоративных информационныхресурсов. Наконец,ASMиспользуетсядля настроексетевойинфраструктурыипро- веркиоткрытыхпортов.Такойаудит позволяеторганизациисвоевременно предотвращатьугрозы,связанныеспро- никновениемвохраняемыйпериметр черезвнешниересурсы. Обойтись без ASM? Конечно,организациимогутине использоватьASMдлямониторинга своегоохраняемогопериметра.Втаком случаерешениеэтойзадачиложится наплечиИБ-специалистовпредприятия, аследовательно,становитсядляних значительнойнагрузкой. Делонетольковобилииручныхопе- раций,которыенужновыполнитьдля проведениятакогомониторинга.Вкаче- ствепримераможнопривестинеобхо- димостьдобавлениявбелыйсписокIP- адресовиспользуемыхсканеровуязви- мости.Особенныхкомпетенций(икон- спирации!)требуетработасдарквебом. Наконец,потребуетсяиаппаратная инфраструктура–какминимумодин выделенныйсервервинфраструктуре предприятия,необходимыйдляразвер- тываниясканеров. Пожалуй,единственноедостоинство самостоятельногомониторингауязви- мостейзащиты–небольшойбюджет. Расходывэтомслучаемогутоказаться ниже,чеминвестициивспециальное ПО.Ноирезультативностьсамостоя- тельногомониторингапочтинаверняка окажетсятакойженебольшой.l Управляем поверхностью атаки: лучшие практики и подводные камни ем быстрее растет и расширяется организация, тем сложнее становится ИТ-структура и тем больше в ее системе защиты появляется уязвимостей, которыми могут воспользоваться хакеры. Ч Любовь Ермилова, менеджер по развитию бизнеса компании MONT Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото:????