Журнал "Системы Безопасности" № 3‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 82 каком-то компьютере зараженный файл или использована старая уязвимая версия ПО. Если же злоумышленник проникает в сеть конкрет- ного предприятия целенаправленно, он может осуществить хищение документов и данных, в том числе персональных, уничтожить или подделать данные. А в случае КСБ широкие воз- можности управления исполнительными устройствами (блокировка дверей, включение автоматики) могут создать прямую угрозу жизни человека и материальным ценностям. Разберем ключевые факторы возникновения киберугроз для систем комплексной физиче- ской безопасности. 10 признаков киберугрозы Отсутствие гибких политик управления паролями Вычислительная мощность современных ком- пьютеров позволяет подбирать пароли с огромной скоростью. Такие пароли, как qwer- ty или password1, подбираются за доли секун- ды. Поэтому, например, современные интер- нет-сервисы при создании паролей требуют минимум восемь или более символов, обяза- тельно с буквами в разном регистре, цифрами и спецсимволами. Часто обязательной являет- ся многофакторная аутентификация. В это же время ПО систем физической без- опасности нередко разрешает использование коротких, простых или даже однобуквенных паролей. И такие пароли используются годами. Зачастую один и тот же простой пароль используется на всех устройствах системы одновременно. Отсутствие встроенных в ПО политик управле- ния паролями (ограничения их минимальной сложности, требования периодической рота- ции паролей, отзыва паролей по команде администратора, контроля количества попыток ввода пароля и т.д.) делает атаки через подбор паролей быстрыми и очень эффективными. Полные права в руках одного пользователя У отдельно взятого оператора любой критичной информационной системы не должно быть пол- ных прав на управление такой системой и доступа ко всем данным одновременно. Системный администратор должен иметь доступ к административным функциям – настройкам, управлению системными пара- метрами, журналам аудита, но не должен иметь доступа к персональным данным или функциям управления охранной сигнализаци- ей. Оператор бюро пропусков не должен иметь возможность выгрузить полный список сотруд- ников и посетителей со всеми их данными разом или скачать резервную копию базы дан- ных. Система должна предоставлять пользова- телю только те возможности, которые нужны ему для выполнения непосредственных обя- занностей: поиск сотрудника по ФИО, заведе- ние нового пропуска или просмотр журнала системных событий. В противном случае при взломе или в силу человеческого фактора возможно от лица одно- го пользователя, например, "слить" все персо- нальные данные из системы или создать нового "администратора" для последующего доступа злоумышленника. Работа программного обеспечения под учетной записью администратора Обратите внимание, работает ли ПО системы безопасности в изолированном окружении или с полными правами доступа к операцион- ной системе. Если программа работает под учетной записью администратора, то в случае ее взлома (например, при эксплуатации уязви- мости типа Remote Code Execution) злоумыш- ленник получит полный контроль над опера- ционной системой. По оценке автора, программные средства физи- ческой безопасности на рынке часто требуют административных привилегий в ОС для рабо- ты, либо для взаимодействия с физическим оборудованием по последовательным интер- фейсам, либо потому, что исторически несо- вместимы с современными политиками без- опасности в ОС. Отсутствие аудита всех действий в системе Любое действие в системе должно быть зареги- стрировано, журнал действий должен быть защищен от подделки, и об этом должно быть известно всем пользователям. Должен быть организован автоматический мониторинг тако- го журнала и оповещение ответственных лиц о выполнении критичных для системы дей- ствий, таких, например, как заведение нового администратора. Понимание того, что любое действие пользо- вателя гарантированно фиксируется и ассо- циируется именно с ним, обычно останавли- вает сотрудника от нарушения закона и внут- ренних регламентов предприятия, поскольку ведет к неотвратимому наказанию. А возмож- ность анонимно выполнить деяние, о котором никто никогда не узнает, напротив, способ- ствует случайному или осознанному наруше- нию правил. Работа под устаревшими версиями ОС По оценке автора, большая часть программ- ных средств физической безопасности рабо- тает под управлением ОС Windows. В любом программном обеспечении есть ошибки и уязвимости, ОС Windows не исключение. Но, будучи установленным три, пять, а то и 10 лет назад, ПО систем безопасности работает зачастую под управлением устарев- ших и не поддерживаемых производителем версий ОС. Кроме того, в свете текущей гео- политической ситуации в Российскую Феде- рацию официально актуальные версии ОС и обновления не поставляются. Таким обра- зом, количество уязвимостей в решении ста- новится больше от года к году, и это только вопрос времени, когда очередной вирус ими воспользуется. Отсутствие регулярных обновлений По данным "Лаборатории Касперского", самой распространенной в 2023 г. и I квартале 2024 г. стала критическая уязвимость CVE-2021-44228 (Log4Shell) в библиотеке Apache Log4j, которая позволяет удаленно выполнять код. При этом данная уязвимость была обнаружена еще три года назад. Получается, она до сих пор не устранена в огромном количестве программных продуктов. Не только операционная система требует регулярного обновления и установки патчей безопасности. Программное обеспечение, работающее под управлением ОС, также должно получать обновления на регулярной основе, а производитель должен на регуляр- ной основе выпускать такие обновления, закрывающие выявляемые уязвимости. Отсутствие налаженного процесса выпуска, рас- пространения и установки обновлений ведет к высокой вероятности эксплуатации не исправ- ленных вовремя уязвимостей. Отключение межсетевого экрана (брандмауэра) Обратите внимание на то, как настроен меж- сетевой экран на вычислительной машине с установленным ПО системы физической безопасности. Инструкции по установке мно- гих решений требуют добавить соответствую- щие программы в исключения брандмауэра (вместо детализированной настройки разре- шений для сетевых портов) или выделить большие диапазоны (тысячи портов) для произвольных сетевых подключений в/из этих программ. Межсетевой экран – основной рубеж защиты компьютера от входящих несанкционирован- ных подключений и исходящих подключений к другим ресурсам сети со стороны потенци- июнь – июль 2024 www.secuteck.ru В 2024 г. атаки на "слабые" пароли остаются самыми популярными Н екоторые киберугрозы менее существенны для систем физической безопасности. Иные, наоборот, более вероятны: например, в КСБ часто используются сильно устаревшее программное обеспечение и старые операционные системы, с большим количеством известных уязвимостей. Статистика по уязвимостям, по данным "Ростелеком Солар"