ГлавнаяУправлениеБезопасность

Давайте поговорим ОБ ЭТОМ. От чистого сердца

02.08.2021Автор Диана Евлоева
Давайте поговорим ОБ ЭТОМ. От чистого сердца
Многие компании перевели часть сотрудников на удаленный или гибридный формат работы. В условиях неприменимости корпоративных мер защиты приходится формулировать основные принципы и подходы к обеспечению информационной безопасности. Поэтому давайте снова поговорим ОБ ЭТОМ. О ней. Об удалёнке.

В небольших компаниях информационная безопасность — это головная боль системных администраторов. Держать отдельного специалиста по ИБ смысла нет — так видимый ущерб от его отсутствия не превышает расходы на его содержание. При этом всегда есть определенный конфликт между безопасностью и бизнесом, которому нужна максимальная доступность корпоративных ресурсов «удаленным» сотрудникам, легкость использования данных, быстрый отклик информационных систем. Понятно, что сотрудники пользуются технологиями, не задумываясь о рисках. Проблема в том, что под давлением владельцев профильных бизнес-процессов риски игнорируют и администраторы сети. Однако угадайте с трех раз, на кого повесят проблемы, если они возникнут?

Шаг первый. Защищаем RDP

Прежде чем открывать сотрудникам удаленный доступ, есть смысл вспомнить виды атак на сеансы удаленной работы и способы защиты от них.

Для удаленного доступа к рабочему хосту часто используют подключение по протоколу RDP (Remote Desktop Protocol). Сам по себе он практически не защищен, поэтому разберем, какие здесь есть риски.

Первое и главное — в RDP отсутствует защита от брутфорса. То есть, зная логин и имея свободное время либо специальный скрипт, можно подобрать пароль и проникнуть в сеть компании. Поэтому чаще всего RDP-атаки сводятся к брутуфорсу аутентификационных данных пользователей с целью:

а) захвата удаленного доступа и дальнейшего движения по корпоративной сети с помощью техник Lateral Movement для получения доступа к необходимым службам и сервисам с целью хищения данных или средств;

б) отключить EDR, антивирусы и прочие решения безопасности и запустить программу-шифровальщик или установить программы для майнинга криптовалют.

На случай если компания что-то заподозрит и отключит доступ по RDP, атакующие обычно создают резервный путь доступа к корпоративной сети.

Также к атакам на RDP относятся:

DoS,

  • перехват сессии пользователя с помощью атаки MITM.

  • использование уязвимости BlueGate, которая позволяет выполнить удаленное выполнение кода путем запроса через компонент Remote Desktop Gateway;

  • использование критической уязвимости в реализации службы удаленных столов в Windows BlueKeep. Она позволяла удаленно выполнять произвольный код на целевых системах через протокол RDP без проверки подлинности прав доступа.

  • еще несколько уязвимостей связаны с популярным сервисом рабочих столов RDS (Remote Desktop Services), используя которые злоумышленник мог отправить через RDP специально сформулированный запрос и получить доступ к системе, минуя проверку подлинности.

Для того чтобы защитить подключение с удаленных рабочих станций по RDP, есть смысл организовать подключение через VPN (Virtual Private Network). Для VPN есть свои протоколы безопасности, например, для дополнительной защиты передачи данных предусмотрена защита транспортного уровня TSL (transport layer security). Она обычно включена в настройках ПК по умолчанию, но никогда нелишне проверить самим.

Trust but verify

Для проверки использования TLS для RDP нужно:

  1. Зайти в групповую политику, далее: Конфигурация компьютера — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов рабочих столов» — «Безопасность».

  2. Устанавливаем параметр «Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP» в значение «Включено» и уровень безопасности в значение «SSL».

  3. Устанавливаем параметр «Установить уровень шифрования для клиентских подключений» на высокий с шифрованием не меньше 128-битного. Либо:

  4. Ставим максимальный уровень шифрования — FIPS 140-1. Он находится на пути: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписи». Он хорош тем, что даже не будет рассматривать RC2/RC4, а будет запрашивать вычисление целостности SHA-1 вместо MD5. Технически это вполне реализуемо: сейчас сложно найти сервер, который не поддерживает SHA-1.

  5. Желательно привязать службу RDP к нестандартному порту (по умолчанию - 3389). Значение порта можно поправить в реестре по адресу HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp в параметре PortNumber.

Еще один способ обезопасить удаленное подключение — активировать проверку подлинности на уровне сети — NLA (network level authentication). В обычном режиме пользователь сначала видит welcome-скрин удаленного рабочего стола, а уже потом входит в систему под своими учетными данными. Однако на каждый такой запрос сервер отвечает созданием сессии и последующим ожиданием входа. То есть может возникнуть ситуация, когда сервер окажется перегружен такими запросами. Похоже на DoS, верно? Так оно и есть. Количество подобных атак сильно выросло в связи с массовым переходом компаний на удаленный режим в 2020 году. Для хакеров это был просто Клондайк.

Поэтому наиболее безопасный вариант защитить удаленку — использовать стороннее ПО различных вендоров которые предоставляют ядро виртуализации, клиенты к нему и имеют свое передовое шифрование для подключения. Но, во-первых, оно не бесплатно, во-вторых, ничто не идеально, и возможно и в них есть уязвимости, которые еще не выявили. Примером такого ПО может быть:

  • VMware Horizon от одноименной компании VMware;

  • Oracle VDI от Oracle;

  • распространяемое свободно QVD Virtual Desktop.

С RD разобрались: если нет денег на платформу виртуализации рабочих мест — заворачиваем весь трафик в VPN, ставим обновления и работаем удаленно более-менее спокойно. Но тут возникает вопрос безопасности самого VPN.

Шаг второй. Делаем свое казино… То есть, VPN

Есть разработчики VPN, решениям которых можно доверить защиту своей сети.

Например, для создания безопасного VPN в корпоративной среде рекомендуется использовать протокол IPsec IKEv2, разработанный Microsoft и Cisco и считающийся наиболее продвинутым на данный момент: он хорошо защищен и работает прямо из коробки. IKEv2 использует проверку подлинности сертификата сервера, то есть, он не будет выполнять никаких действий, пока не определит личность запрашивающей стороны. Благодаря этому значительно уменьшается количество результативных атак «человек посередине» и DoS-атак.

Более того, протокол не передает служебные данные, которые связаны с протоколом «точка-точка» (PPP). Это делает IKEv2 быстрее, чем PPTP и L2TP протоколы. Кроме того, IKEv2 поддерживает шифрование AES и Camellia, а также использует ключи длиной 256 бит. Словом, это хорошее решение, однако необходимо понимать, что инциденты бывают у всех.

Буквально недавно компания Fortinet стала жертвой атаки шифровальщика Cring, который проник в сеть компании через уязвимость в ее VPN-серверах. Сама уязвимость не что иное, как directory traversal attack, которая позволила хакерам получить доступ к файлу sslvpn_websession, минуя аутентификацию. А это означает, что в руки хакеров попали аутентификационные данные пользователя для доступа по VPN.

Ссылаясь на предыдущую главу о доступе по RDP, заметим, что развитию инцидента в Fortinet способствовали некорректные настройки прав учетных записей пользователей, установленные в доменных политиках. Всем пользователям было разрешено иметь доступ ко всем системам. Для сотрудников это, конечно, удобно, но вот для самой Fortinet это была однозначно плохая идея. Стоило скомпрометировать лишь одну учетную запись — и злоумышленники получили доступ ко всем системам компании и получили отличную возможность быстрее распространить вредонос по ее сети.

Вывод: не существует такое программное обеспечение, которое с настройками из коробки защитит вас на 100%, стоит только нажать на кнопку ON. ПО пишется и используется людьми. Им свойственно ошибаться, не ставить вовремя обновлени, открывать фишинговые письма и использовать везде один и тот же пароль, записывая его на бумажку под клавиатурой или в ящике стола. Неуязвимого софта не бывает — просто нужно потратить достаточно времени на то, чтобы найти слабое место у него или у того, кто им пользуется.

Как видно на примере Fortinet, проблема была в безопасности аутентификации по методу «логин — пароль». Но этот метод сам по себе не очень надежный. Поэтому чтобы минимизировать риски компрометации паролей, можно использовать систему двухфакторной аутентификации. Например, чтобы получить доступ к VPN, пользователям нужно иметь токен, который идентифицирует их и привязанное устройство, например, подключенное приложение-аутентификатор, связанное с вашим VPN.

Подводя итог, мы задаемся вопросом: почему столько шума вокруг таких тривиальных вещей, как брутфорс паролей и DoS, когда существуют гораздо более сложные виды атак? Потому что именно самое легкое решение, как правило, самое правильное и бьет в точку. Что же касается сложных комплексных атак, задействующих более мощные средства, чем руки злоумышленника, — например, искусственный интеллект, то для их обнаружения и предотвращения необходимо использовать решения, использующие тот же ИИ. Как говорится, кто с мечом к нам придет, от меча и погибнет.

Шаг третий. Хочешь меч - куй

При разработке новых продуктов или обновлении уже существующих вендоры концентрируются на интеграции модулей, поддерживающих ИИ. Как правило, это системы класса XDR, (Extended Detection and Response), обеспечивающие расширенное обнаружение и реагирование на сложные угрозы и целевые атаки. Они включают модули поведенческой аналитики для обнаружения активных вторжений и имеют регулярно пополняемые базы фидов, что позволяет защите оперативно реагировать на появление новых векторов атак. Использование искусственного интеллекта в XDR значительно упрощает расследования, автоматически группируя сотни предупреждений в инциденты, выявляя первопричину, временную шкалу событий и подробные сведения об угрозах из любого источника.

Более быстрая, интеллектуальная и автоматизированная обработка угроз помогает обнаруживать предупреждения и аномалии и реагировать на них в режиме реального времени, позволяя кибер-аналитикам быстро выявлять наиболее серьезные угрозы и использовать свои навыки и опыт для их нейтрализации. Однако наиболее важной частью являются не сколько программное обеспечение, процессоры или даже алгоритмы, сколько количество и качество аналитических данных об угрозах, которые передаются на обработку искусственным интеллектом. Именно объем качественных данных, которыми оперирует ИИ, определяет разницу между организацией, которая действительно использует возможности искусственного интеллекта, и организацией, которая только позиционирует себя так.

Хорошая защита на основе ИИ невозможна без информационного обмена данными об угрозах и атаках между организациями. Чем больше таких данных, тем проще каждому участнику обмена сопоставлять и анализировать угрозы в соответствии со своими картами рисков. Чем больше данных об уже известных угрозах можно использовать для обнаружения активной угрозы, тем лучше.

Это особенно актуально именно сейчас, когда злоумышленники также научились использовать искусственный интеллект и автоматизацию. Более того, атакующей стороне в этом плане намного легче. Злоумышленники вооружены более современными технологиями, чем легитимные компании, поскольку они не связаны стандартами и требованиями регуляторов и могут действовать экспериментально: попробовали, получилось — отлично, запускаем в производство.

В добросовестных организациях такие возможности есть не всегда. Когда речь идет о внедрении такой мощной технологии, как ИИ, бизнес всегда оценивает баланс преимуществ и издержек. Не каждая компания готова выкладывать огромные суммы на внедрение машинного обучения, не зная, окупятся ли эти затраты. Финансовая оценка рисков — тоже удовольствие недешевое. Но чтобы ею хотя бы озадачиться, нужно осознать наличие угрозы и реальную возможность ее реализации, а это наблюдается далеко не повсеместно. Многие компании до сих пор игнорируют необходимость оперативной установки обновлений, и говорить о таких серьезных вещах, как искусственный интеллект, здесь вряд ли приходится.

Однако перестраиваться все равно придется. Уже сейчас инструменты искусственного интеллекта способны обнаруживать атаки других MAI (malicious artificial intelligence). В будущем этот процесс с большей вероятностью будет еще более эффективным и точным. Защите так или иначе придется внедрять улучшенные решения, потому что злоумышленники, более гибкие в использовании инструментов и не обремененные ограничениями и согласованиями, имеют больше преимуществ и возможностей для совершенствования нападения. Задача защиты — быть если не на шаг впереди, то как минимум идти в ногу с атакующими.

Be safe!

Смотреть все статьи по теме "Информационная безопасность"

Похожие статьи