Журнал "Системы Безопасности" № 3‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 83 альных вирусов. Отсутствие грамотно настроенных ограничений для ПО систем безопасности, с одной стороны, открывает возможность несанкционированного под- ключения к этому ПО для его взлома или экс- плуатации уязвимостей в его коде, а с другой стороны делает ИТ-сеть предприятия уязви- мой в случае взлома такого ПО. Использование лишних средств на АРМ операторов системы безопасности Установка на АРМ средств, которые не требуют- ся для выполнения функций по назначению (игр, мессенджеров, развлекательных серви- сов, сторонних программ), повышает риск взлома за счет возможного наличия уязвимо- стей в таких средствах. Даже если имеется уста- новленный порядок обновления ПО рабочих мест, такие средства вряд ли будут обновлены. На уровне регламентов предприятия должны быть запрещены инсталляция и эксплуатация лишних средств на АРМ, а средствами ОС и настройкой прав пользователей должна быть технически ограничена возможность их уста- новки. Отсутствие регулярного обслуживания рабочих мест и серверов квалифицированными специалистами Как упоминалось ранее, существенная доля уязвимостей систем связана с некорректной конфигурацией развернутых средств. Незакры- тые сетевые порты, некорректно работающий антивирус, не измененные при установке сете- вого оборудования пароли – подобные ошибки в настройке могут очень дорого обойтись пред- приятию. Более того, новые уязвимости в кон- фигурации будут появляться и в процессе рабо- ты, по мере развития системы. Технические и программные средства должны быть развернуты и регулярно обслуживаться только квалифицированными специалистами, а такие специалисты в своей работе должны руководствоваться надежными регламентами и в том числе требованиями по информацион- ной безопасности. Если ваши компьютеры настраивает вчерашний выпускник филфака, то вероятность взлома многократно возрастает. Подключение оборудования по последовательному порту Большая часть производителей средств систем безопасности продолжает эксплуати- ровать устаревшее оборудование, подклю- чаемое к компьютеру по последовательным портам. Такое подключение вместо, напри- мер, сетевого обусловлено чаще всего низ- кой производительностью оборудования и невозможностью программного обеспече- ния последнего реализовывать высокоуров- невые защищенные протоколы коммуника- ции. Таким образом, протоколы информа- ционного обмена с оборудованием оказы- ваются либо полностью открытыми, либо защищенными чисто формально – так, что взлом такой защиты является элементар- ным. В результате при получении доступа к соответ- ствующему компьютеру злоумышленник также получает возможность выполнять команды управления над подключенным оборудовани- ем – разрешать доступ, снимать помещения с охраны и др. Он может действовать хитрее, например добавить свою карту в базу данных оборудования и впоследствии пройти на охра- няемую территорию без ограничений. Как с этим жить? Ваша система работает в защищенной среде, пользователям выданы ограниченные права и сложные пароли, а коммуникация в сети осу- ществляется строго по mutual TLS? Поздравляем, вряд ли ваша система будет "дырой" в безопас- ности! Но если нет, то что делать? Обновление операционной системы Если программные средства системы физиче- ской безопасности работают под управлением устаревших или уязвимых версий операцион- ных систем, следует оперативно обновить такие ОС. Предпочтительно осуществить миг- рацию на актуальную версию какой-либо рос- сийской операционной системы для получе- ния регулярных обновлений и патчей безопас- ности. К сожалению, большая часть средств безопасности может работать только под управлением не поддерживаемых в РФ ОС семейства Microsoft Windows, а российские ОС относятся к семейству Linux. В таком случае возможна только замена программных средств на поддерживающие Linux и россий- ские ОС. Настройка наложенных средств При наличии сетевых угроз можно выделить КСБ в отдельную защищенную подсеть. Но это не всегда возможно на физическом уровне, так как коммуникации уже смонтированы на этапе строительства. В таком случае автор рекомен- дует установку наложенных средств, таких как VPN, для защиты сетевого обмена, а также гра- мотную настройку межсетевых экранов и сете- вого оборудования. Следует также установить/обновить антивирус- ное программное обеспечение и средства ИБ-мониторинга, использовать актуальные базы сигнатур вирусов и угроз. Подключение ко внешней системе учетных записей В случае если ПО системы безопасности не под- держивает гибкие политики управления паро- лями и аутентификацией в целом, но поддер- живает интеграцию со средствами вроде OpenLDAP или Keycloak, то рекомендуем настроить такую интеграцию и делегировать контроль аутентификационных данных специа- лизированной системе. Внедрение регламента эксплуатации КСБ При невозможности закрыть уязвимости тех- ническими мерами можно прибегнуть к орга- низационным – разработать корпоративный регламент эксплуатации системы физической безопасности, предотвращающий создание типовых уязвимостей: делегировать выдачу паролей только доверенным администрато- рам, которые будут контролировать их слож- ность и время жизни; с заданной периодич- ностью проводить аудит безопасности, уста- навливать соответствующие обновления; периодически просматривать системные жур- налы на предмет нетиповой активности. Основной минус такого подхода – человече- ский фактор. Регламент будут выполнять люди, а всем людям свойственно ошибаться. Модернизация программных средств К сожалению, не все уязвимости можно закрыть наложенными средствами и организационными мерами. Отдельные принципы, заложенные в архитектуру системы безопасности на этапе ее проектирования много лет назад, делают конеч- ное решение исходно "дырявым". К таким принципам относятся ориентирован- ность на работу в изолированном сегменте сети, отсутствие защиты протоколов коммуни- кации с оборудованием или работа в опера- ционной системе только с административными правами. Устранить угрозы, возникающие вследствие таких фундаментальных особенностей, можно только при помощи качественной модернизации, выбора надежной продукции иного производителя – средств, которые исходно спроектированы с учетом актуаль- ных киберугроз. Заключение Цифровые технологии существенно изменили мир. Цифровизация делает нашу жизнь проще и эффективнее, но и несет с собой новые риски – киберугрозы. На рынке почти нет решений, которые исход- но спроектированы и реализованы в соответ- ствии с актуальными требованиями кибербе- зопасности. Киберугрозы можно частично купировать наложенными средствами и орга- низационными мероприятиями, но полноцен- но закрыть "дыру" в безопасности можно, лишь выбрав современный, полностью кибер- защищенный продукт. n www.secuteck.ru июнь – июль 2024 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru О тдельные принципы, заложенные в архитектуру системы безопас- ности на этапе ее проектирования много лет назад, делают конечное решение исходно "дырявым" К оличество кибератак неуклонно растет, а современные системы физической безопасности подвержены им даже в большей степени, чем другие информационные системы