Журнал "Information Security/ Информационная безопасность" #2, 2025

Виды опасных конфигураций Опасные конфигурации можно разде- лить на две большие группы. Первая группа – настройки компонен- тов ОС и ПО, при некорректном или избыточном использовании которых открываются новые векторы развития атак. Разработчики ОС и ПО стремятся создавать максимально адаптивные про- дукты, способные подстраиваться под массовую аудиторию. При этом они не всегда задумываются, в каких сценариях пользователи будут применять такие гибкие настройки. Это и приводит к тому, что у злоумышленников появляются потенциальные векторы для продвиже- ния по инфраструктуре. Вторая группа – ненастроенные меха- низмы для усиления защиты ОС и ПО. К таким конфигурациям относится, напри- мер, игнорирование существующих меха- низмов безопасности ОС или их непол- ноценное применение. Штатная конфи- гурация ОС и ПО не всегда подразуме- вает использование всех защитных меха- низмов из коробки – им нужна дополни- тельная настройка, а пользователи и администраторы часто это игнорируют. Последствия небезопасных конфигураций Современные инфраструктуры – это множество устройств, еще больше уни- кального ПО и бесконечное число вари- антов его настройки. Значимая часть конфигураций напрямую влияет на без- опасность как устройств и ПО, так и инфраструктуры в целом. Неверные настройки ведут к различным послед- ствиям: l упрощается передвижение злоумыш- ленника по инфраструктуре; l нарушается безопасность хранения критичных данных, например учетных; l ослабляются механизмы защиты ОС и другие средства безопасности; l усложняется процесс реагирования и расследования инцидентов; l становятся доступными новые векторы для повышения привилегий. Поэтому так важно контролировать критичные конфигурации ОС и ПО, а также проводить их харденинг. Контроль конфигураций Возникает резонный вопрос: как эффективно контролировать конфигу- рации в endpoint-инфраструктуре? В BI.ZONE мы подходим к этому через полноценную защиту конечных точек. Недостаточно просто мониторить актив- ность и угрозы на устройствах – важно оценивать безопасность конфигураций ОС и ПО, то есть искать как небезопас- ные настройки, так и уязвимое ПО. Такой анализ идет непрерывно и отличается от классического EDR-мониторинга тем, что защищает инфраструктуру превентивно, еще до атаки. Этот компонент BI.ZONE EDR мы называем Threat Prediction, и он входит в состав решения, помогая нахо- дить настройки, которыми могут вос- пользоваться злоумышленники. Компонент работает по следующему сценарию: 1. Администраторы кибербезопасности и ИТ тиражируют EDR-агент на все конечные точки (Windows, Linux и macOS), а также устанавливают необхо- димые компоненты. 2. EDR-агент собирает телеметрию о состоянии ОС и ПО, а компонент Threat Prediction ее анализирует. При выявле- нии небезопасных настроек компонент формирует для аналитика отчет с опи- санием рекомендаций по безопасности. Кроме того, самые критичные настройки ОС и ПО ставятся на мониторинг изме- нений в реальном времени – это позво- ляет отслеживать попытки привести систему в уязвимое состояние. 3. Аналитик получает перечень алер- тов, в котором содержатся выявленные компонентом Threat Prediction небез- опасные конфигурации и рекомендации по их устранению, а также классические события и информация о выявленных угрозах. Затем он принимает решения и меры по их устранению. EDR не только становится средством мониторинга и реагирования на угрозы, но и дает полную информацию о настройках ОС и ПО, которая позволяет выявлять незащищенные места в инфраструктуре. Своевременное устранение таких небез- опасных конфигураций существенно услож- няет злоумышленникам развитие атаки. Эксперты BI.ZONE регулярно иссле- дуют ландшафт угроз, публичные и непубличные материалы, анализируют ОС и ПО на предмет потенциально небезопасных настроек, что позволяет непрерывно наполнять и актуализировать базу небезопасных конфигураций, кото- рая уже включает более 500 проверок. Threat Prediction входит в состав сер- виса BI.ZONE TDR – компонент анали- зирует небезопасные настройки, а обна- ружив их, уведомляет ответственных инженеров. Примеры небезопасных конфигураций Вот несколько примеров самых кри- тических и распространенных небез- опасных конфигураций, которые выявляет BI.ZONE EDR. Пример 1. Слабые пользовательские пароли Одна из частых причин инцидентов – слабые пароли на локальных устрой- ствах и в Active Directory. Злоумышлен- BI.ZONE TDR (SOC/MDR) – сервис по мониторингу и реагированию на киберинциденты, в том числе с использованием BI.ZONE EDR под управлением экспертов BI.ZONE. 22 • СПЕЦПРОЕКТ Управление конфигурациями: как защититься до атаки ибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки. Г Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR Фото: BI.ZONE