Информационная безопасность IT

Почему хакеры раз за разом достигают своих целей, побеждая тех, кто стоит на страже своих активов? По мнению одного из известных исследователей в области информационной безопасности Джона Ламберта (John Lambert), дело – в разнице в мышлении. Такую идею заслуженный инженер и генеральный управляющий Microsoft Threat Intelligence Center сформулировал в своем аккаунте на «Гитхаб».

Мышление защитников

Разница заключается в том, что каждая сторона представляет себе поле боя по-своему. Защитники сфокусированы на составлении списков своих активов, их приоритизации, сортировке по влиянию на бизнес-процессы. Для автоматизации всего этого подключаются системы управления ИТ-инфраструктурой, пишутся инструкции по восстановлению работоспособности и т.д. И все это прекрасно работает: система непременно подскажет, что накопители информации уже изношены и их нужно заменить, а в случае пропажи канала связи оператору необходимо подключить резервную схему. Все бэкапы серверов из критичного списка собираются своевременно и откатиться к ним можно в любой момент.

Но у данного подхода есть один недостаток: атакующий не видит этих списков, и он ими не ограничен. Атакующий видит граф (то есть схему, в которой присутствуют не только сами объекты, но и связи между ними).

Что это за граф, и кто его создает?

Вершинами графа являются ресурсы компании (пользователь, учетная запись, приложение, компьютер), а ребра показывают, как связаны ресурсы с точки зрения безопасности: где авторизуются пользователи и с какими правами, кто является локальным администратором, какие политики распространяются на компьютеры, и кто ими владеет и т.д.

Пример графа IT-инфраструктуры. Источник - github.com

Если прямой связи между двумя объектами инфраструктуры нет, но существуют пути, соединяющие их через промежуточные вершины, эти пути будут видны на графе. Тогда как для мыслящих списками обнаружить их будет поистине непростой задачей.

Граф создается теми, кто конфигурирует и эксплуатирует инфраструктуру. Создается автоматически, вне зависимости от того, знают о нем или нет.

В качестве классического примера можно привести авторизацию администратора домена Active Directory на каком-либо компьютере. Обоснованность таких действий рассматривать не будем — это случается сплошь и рядом, но проанализируем происходящее с точки зрения графа. Операционная система такого компьютера при авторизации сохранит в памяти служебного процесса lsass.exe учетные данные администратора домена. В зависимости от версии и конфигурации Windows это может быть пароль в открытом виде, производный от него NTLM-хэш или билетик Kerberos. Захват такого компьютера позволит хакеру в итоге завладеть всем доменом, что и отображено в графе отдельной связью. Каждая подобная авторизация создает в графе новое ребро, что увеличивает его связность. Для автоматизации построения графов среди инструментов хакера есть утилиты powersploit и bloodhound, подключающие математику для поиска кратчайших путей.

Графовое представление связей объектов Active Directory, построенное программой Bloodhound. Источник – блог компании Positive Technologies

Проблема заключается в том, что обычно модель, которую использует ИТ-отдел для управления сетью, сильно отличается от того графа, каким видит систему злоумышленник. И поскольку у защитников нет возможности отследить неочевидные связи, такой компьютер не будет защищаться как высококритичный актив, на нем могут быть не установлены необходимые обновления безопасности или отсутствовать антивирусное средство.

Мышление хакера

Какой бы защищенной ни была инфраструктура организации, с точки зрения хакера она уже имеет все необходимое для работы. В ней в любом случае есть администратор, управляющий активами, а также соответствующее рабочее окружение с необходимым набором утилит и софта. Вопрос остается только в получении легитимного пароля для использования сконфигурированного окружения в нелегитимных целях. Поэтому, несмотря на то, что различные эксплойты и являются неотъемлемой частью арсенала злоумышленника, в широком смысле его можно рассматривать как обычного администратора, только действующего в системе с другими целями.

Представим, что такой злоумышленник появился в сети. Точкой входа в инфраструктуру мог являться, например, компьютер пользователя, угодившего в сети социальной инженерии.

Примерно так может выглядеть кусочек корпоративной сети в глазах хакера. Источник - github.com

Где «приземлился» хакер относительно своей цели ему неизвестно, задача состоит в исследовании графа и поиска пути до целевой вершины. Он использует пароль локального администратора и обнаруживает, что тот подходит к нескольким соседним машинам. В памяти одной из них он находит учетную запись администратора рабочих станций, что дает доступ к гораздо большему количеству машин. Подобным же образом злоумышленник постепенно исследует весь граф безопасности и в итоге установит путь до целевой вершины.

И что же, в таком случае, делать защитникам?

Существует мнение, что области защиты и атаки равнозначны, во многом независимы и развиваются параллельно, никак не пересекаясь друг с другом. Возможно, именно эта парадигма и является причиной сформировавшейся разницы в мышлении противоборствующих сторон. И до тех пор, пока ситуация не изменится, атакующие будут побеждать. Для успешного противостояния защитникам следует признать, что они всегда будут вторым номером в этой гонке вооружений, если не научатся видеть мир иначе, и принять роль ученика.

Знайте граф инфраструктуры, которую создаете, мыслите как хакер!

Автор: Аделина Любимова, Origin Security

Ещё три практики для внедрения, позволяющих навести порядок в информационном хаосе без привлечения специалистов со стороны.

CCHP — Companies CyberHygiene Practice, практики кибергигиены для компаний

CCHP4. Организация способа хранения паролей

Где вы храните ваши пароли? Казалось бы – простой вопрос, но поверьте — он многих ставит в тупик. И пусть кинет в меня камень тот безопасник, в парольной политике которого предложено организационное решение, отличное от папки-скоросшивателя.

Коварнейший риф, о который разобьются корвет «Мощность алфавита» и баркас «Криптостойкий» – необходимая периодическая смена паролей. Безусловно, это полезная и даже очевидная мера, но только если вы работаете в службе информационной безопасности. А мы возьмем и посмотрим на нее с точки зрения простого сотрудника.

Он тратит усилия на запоминание новых и новых фраз, а это действительно тяжкий труд, если ваш администратор – сторонник 32-символьных псевдослучайных паролей на основе массива из цифр, строчных, заглавных и специальных символов. Запомнить же надо не одну и не две комбинации — в современных компаниях количество сервисов вполне сравнимо с числом трудящихся. При этом прилежное выполнение такой задачи никак не поощряется, вместо награды за усердие работника могут только наказать за невыполнение политик и распоряжений.

Но есть луч света в темном царстве и это – кто бы мог подумать – менеджеры паролей. На любой вкус и цвет, любые, какие только можно себе представить: облачные и локальные, бесплатные и не очень, с двухфакторной и с биометрической аутентификацией, а также со встроенными генераторами паролей. Благо за сравнительным анализом предложений далеко ходить не надо.

Попробуйте предложить такое решение вашим сетевым администраторам, чтобы наконец избавиться от множества раскиданных по всем закоулкам сети файлов с названиями вроде «Пароли от серверов.xlsx» и «VIPnet бухгалтерии.doc».

CCHP5. Избавление от лишнего в вашей сети

Наведение порядка – увлекательный и творческий процесс, который не заканчивается никогда. По уровню вовлеченности участников он может сравниться только с укладкой асфальта на специально подготовленную поверхность из свежевыпавшего снега. Но если четко наметить цели и вовремя пресекать лишние телодвижения, вполне можно вписать его в рамки разумного.

1. Общие ресурсы/папки.

Известное зло, на рукопашную борьбу с которым уйдут все силы даже у самого опытного IT-отдела в сопровождении лучших специалистов ручки и дырокола. Гораздо эффективнее настроить службу индексирования, которая в плановом режиме будет выявлять доступные сетевые папки, перебирать горы файлов в поисках пометок «Конфиденциально» и логинов/паролей от вашей сетевой инфраструктуры. Для составления более полной картины того, что видно вашим сотрудникам в сети, можно предоставить этой службе пользовательские права в домене. В рамках общего хранилища на сервере с задачей прекрасно справятся стандартные Windows Search и Служба индексирования. Для более изысканных вариантов с обходом сети подойдут поисковые движки Archivarius 3000, dtSearch или DocFetcher.

2. Старые/дублирующие сервисы.

Некоторые из них достались вам от старших братьев и сестер. Другие же были здесь, кажется, всегда: никто не помнит, как и кем они настраивались, но выключать их запрещает устав предприятия. Старые проржавевшие СУБД, забытые тестовые сервера, API умной кофеварки, а также множество микросервисов всех форм и расцветок, на которые мы обязательно когда-нибудь перейдем. Конечно, невозможно взять все это и разом отключить/выбросить/сжечь. Но почему бы не организовать мониторинг этих устройств? Попробуйте использовать Zabbix, NetXMS, LanState – или что там больше любит ваш devops. Небольшое усилие правильно приложенных золотых рук, и вы получите управляемую сеть, в которой визуализированы основные жизненные показатели вашего железа, начиная от жестких дисков и батарей, и заканчивая сетевыми портами основных прикладных сервисов.

3. Личные устройства.

Со времен, когда маркетологи начали активно продвигать в бизнес-кругах термин «BYOD» (Bring Your Own Device), утекло много воды. Так много, что она размыла даже стойкие, выведенные твердой рукой регулятора надписи про «неучтенные устройства в пределах контролируемой зоны» и «возможный источник утечки информации». В наши дни, когда экономика должна быть экономной, а сотрудников даже премируют за использование домашних устройств в работе, нужно найти баланс между возможностями и запретами.

А теперь, положа руку на «Энциклопедию профессора Фортрана», честно ответьте на следующие вопросы:

- Каким образом вы будете обеспечивать безопасность инфраструктуры, в которой постоянно появляются устройства с подмоченной репутацией?

- Есть ли у вас готовый алгоритм действий и настроенные средства защиты на случай попадания в сеть очередного wannacry-подобного чуда?

- Как вы будете контролировать трафик устройств по GPRS/Bluetooth, а также развернутые на них точки доступа?

Если у вас есть ответы на эти вопросы – все дороги вам открыты. В противном случае, лучше будет сначала эти ответы найти, и только потом начинать считать, сколько вы сэкономите на использовании работниками их личных устройств.

И самое главное – для поддержания порядка важны не столько прописанные в политиках ограничения и штрафы, сколько быстрые и удобные инструменты для обзора различных уровней сети. Они позволят специалистам как можно чаще посещать даже самые захолустные места ваших киберджунглей, где, возможно, и не ступала нога человека, но куда обязательно дотянется рука хакера.

CCHP6. Контроль ваших IT-поставщиков

Давайте смоделируем ситуацию. К вам приходит сантехник/кабельщик/участковый инспектор для решения ваших, а заодно и своих проблем. Сотрудничество проходит плодотворно, общие темы для разговора найдены, вопросы улаживаются практически сами собой. Уходя, контрагент предлагает вам передать ему запасные ключи от домофона и входной двери, чтобы в следующий раз, когда в нем возникнет необходимость, не отрывать вас от работы или отдыха. Какой будет ваша реакция на такую оптимизацию на местах? Очевидно, негативной.

Почему же тогда, когда дело касается рабочих вопросов, связанных с интеграционными решениями, в большинстве случаев руководители соглашаются и на постоянный удаленный и физический доступ к сети, и на общие пропуска для сотрудников подрядной организации? Такое когнитивное искажение должно быть обязательно изучено и включено в программу подготовки менеджеров от информатизации.

Как всегда, начинать разбираться в проблеме нужно с правильной постановки вопросов. Отталкиваться можно от следующих:

- К каким сегментам подключаются ваши IT-поставщики?

- Какую технику приносят с собой их сотрудники?

- Имеют ли подрядные организации постоянный доступ в вашу сеть?

- Имеют ли IT-поставщики bugbounty-программу для своего продукта? Выпускают ли securityfix-патчи?

Список можно продолжить самостоятельно, после чего провести мозговой штурм среди айтишников и безопасников. В результате сформируется перечень проблемных мест, который с поправкой на актуальность рисков для конкретной компании станет вашим руководством к действию.

Продолжение следует.

Автор: Савва Игнатьев, originsecurity

Ссылка на оригинал статьи

Автор: Савва Игнатьев, OriginSecurity

Первые 3 из 10 актуальных практик, позволяющих с минимальными затратами выработать собственный подход по защите информационных активов вашей организации.

CCHP — Companies CyberHygiene Practice, практики кибергигиены для компаний

В этой статье мы решили представить на суд общественности свое видение превентивной кибербезопасности для компаний, только погружающихся в суровые пучины инфобеза, или столкнувшихся с непониманием дальнейшего пути развития в ИБ. Под заголовком «2022:TOP10-Companies CyberHygiene Practices» собраны 10 актуальных практик, позволяющих с минимальными затратами выработать собственный подход по защите информационных активов вашей организации.

Немного про методологию. При разработке концепции мы опирались на два базовых принципа:

1. «Практика – критерий истины»

Отбор и классификацию практик мы проводили на основании собственного опыта в тестировании сетей на проникновение, в аудите безопасности и в расследованиях киберинцидентов. И этот опыт подсказывает нам, что стопроцентная полнота исследования и строгие научнообоснованные методики может и хороши, но исключительно неэффективны с точки зрения баланса трудозатрат и получаемого результата.

Поэтому всех, кого покоробит отсутствие в данном материале таких тем, как «Защита от электромагнитных наводок» и «Обеспечение физической безопасности объекта», просим не волноваться, а постараться извлечь пользу из приведенной информации – уверены, сделать это будет не сложно.

2. «Не можешь побороть – возглавь»

Зачастую при разборах инцидентов безопасности или устранении выявленных аудитом недостатков главный вопрос, который интересует руководителя – «Кто виноват?». Мы же считаем более важным с прагматической точки зрения вопрос «Что делать?»

Вместо извечной борьбы с пользователями, которые так и норовят нарушить какую-нибудь политику, мы предлагаем поменять парадигму. Перед тем, как внедрить какое-либо ограничение, продумайте способы его обхода пользователями и предложите свой вариант работы — легче, проще и понятнее.

Исходя из этих простых правил, мы выработали практики для применения здесь и сейчас.

Не обязательно сразу использовать всё из перечисленного ниже – соберите свой «лего» сами. Можно расставить веса приоритетов и пошагово заняться улучшением безопасности, отталкиваясь от финансовых возможностей, количества имеющихся специалистов и их квалификации. А можно выбрать случайную практику и прокачивать ее просто потому, что так захотелось.

CCHP1: Проверка утечек данных

Благодаря внедрению рекламных механизмов в Telegram, каждая домохозяйка теперь знает две вещи: актуальный курс криптовалют, и у каких компаний произошла очередная утечка данных.

Несмотря на это, в ежедневной рутине многие руководители до сих пор недооценивают важность контроля корпоративных утечек. А зря, поскольку с повсеместным внедрением сервисов для удаленки один скомпрометированный пароль легким движением руки превращает ученика средних классов во внутреннего злоумышленника.

Конечно, правильным решением было бы привлечь к такой задаче специалистов по конкурентной разведке, но затраты на это мероприятие для большинства компаний не сопоставимы с гипотетической пользой. Поэтому, руководствуясь принципом «20/80», разумно организовать мониторинг утечек на местах.

Как это сделать?

Во-первых, используем классические сервисы по мониторингу утечек. Самый крупный и раскрученный – «Have I’ve Been Pwned?». Доступны проверки по email и номеру телефона, мониторинг конкретного домена, сервис уведомлений о новых утечках по заданным параметрам. Для любителей автоматизации доступен платный API. Потратив немного времени, можно отыскать ещё несколько похожих сервисов, например, DeepSearch.

Во-вторых, множество каналов в Telegram публикуют информацию об утечках. Один из наиболее информативных — Data1eaks. Можно отправить ссылку вашему директору по информационной безопасности для контроля сливов в режиме «утренний кофе с бутербродом».

CCHP2: Инвентаризация публичных сервисов

Бум информацизации/цифровизации/цифровой трансформации — это забег наперегонки с паровозом, где нужно бежать просто чтобы не быть раздавленным. Согласитесь, сегодня рабочие процессы уже немыслимы без микросервисов, платформ интеграции, цифровых экосистем и других плодов развития цифровых технологий.

Цена этого бешеного прогресса – пренебрежение элементарной безопасностью, которую подавляющее большинство до сих пор не научилось рассматривать как актив. В результате, Атлант, возможно, и расправит плечи, но рискует остаться без штанов — например, оставив неприкрытым API интеграции мобильного приложения с основной ERP-системой на периметре.

При планировании инвентаризации в своих угодьях нужно закладывать следующие фазы мероприятия:

- OSINT (Разведка на основе открытых источников). Включает в себя проверку общедоступных областей, где может заваляться нежданный вектор компрометации: баз веб-поисковиков и интернет-сканеров, репозиториев программного кода (Github, Gitlab), whois-сервисов регистраторов и многих других.

- Активное сканирование сети из-за периметра. Классический пентест позволит выявить наиболее вероятный вектор для проникновения в вашу инфраструктуру.

- Исследование потоков маршрутизации. Аудит безопасности с привлечением системных администраторов и администраторов безопасности покажет, каким может быть максимальный ущерб в случае успешной работы злоумышленника даже в самых удаленных и вроде бы изолированных местах корпоративной сети.

При планировании каждой из этих фаз не обязательно стараться объять необъятное – исходите из принципа разумной необходимости. Можно ограничиться отдельными фазами, либо, при отсутствии в штате квалифицированных специалистов, отдать мероприятие на аутсорсинг (только не забывайте контролировать ваших контрагентов).

Если же вам близок принцип «деньги – брызги, главное – результат», можно внести принцип соревновательности в процесс инвентаризации: собрать разные группы специалистов для каждой из фаз, а затем объединить результаты. Такой подход может дать очень интересные и даже неожиданные плоды на совместном подведении итогов.

Главное, что нужно помнить: сервисы приходят и уходят, а инвентаризация должна оставаться. Регулярность в данном случае – краеугольный камень всего процесса.

CCHP3: Организация удаленного доступа

Помните второй принцип нашей методологии? В этой практике он раскрывается во всей красе.

В большинстве своем никто не хочет лишних затрат. Для кого-то недопустимо разбазаривать честно заработанное время отдыха, а кому-то просто лень тащиться полтора часа в пробках ради пятиминутной задачи.

Сотрудники прибегают к удаленному доступу в крайних случаях, например, как с недавним «моровым поветрием». Но зачастую удаленка – это единственная возможность вовремя сдать отчет или починить упавший сервис.

Чтобы в ваших территориальных водах не повсплывали неопознанные ТимВьюверы, ЭниАдмины и прочие радости Ransomware, необходимо заранее продумать безопасный способ подключения легальных пользователей к инфраструктуре.

В подавляющем большинстве сознательных организаций централизованное управление ИТ-парком производится с помощью служб каталогов (Microsoft Active Directory или OpenLDAP). Под их началом можно организовать шлюзы доступа к рабочим станциям и серверам предприятия, используя Remote Desktop Gateway Services или Apache Guacamole (для гетерогенной сети Windows/*nix). В арсенале возможностей шлюзов и привязка пользователей к конкретным рабочим станциям, и опции контроля с помощью смарт-карт, а также гибкое управление рабочим окружением (подключение дополнительных устройств, проброс буфера обмена и т.д.)

Такой подход к упорядочиванию удаленной работы не только положительно скажется на общем уровне защищенности, но и может улучшить эмоциональный фон в вашей организации. Ведь это так приятно, когда родное ИБ-подразделение может не только указывать на упущения в работе, но и предоставлять своим коллегам новые окна возможностей.

Продолжение следует…

Ссылка на оригинал статьи

Правильно ли я понимаю, что Яндекс настолько щедр, что делится статистикой использования своих сервисов с Гуглом? И правильно ли я понимаю, что одной Яндекс.Метрики не хватает чтобы собрать всю информацию о пользователе, поэтому надо подключить Google Tag Manager (чтобы Гугл вообще мог подключить любой сторонний код на страницу) и Google Ad Services.

И еще тут какая-то помойная weborama.fr (французский домен, кстати говоря).

Яндекс, вы серьезно? Ладно, ок, вы приватность пользователей вообще ни во что не ставите — тут все понятно, 60к рублей заплатили и поделом, но, оказывается, вам и на свою коммерческую тайну настолько "класть"?

Аналогичный репорт от Kaspersky Antivirus. Какой к черту AdRiver?

Автор: Forbidden World.

12.06.2022 года, в День России, был взломан и “дефейснут” один из сайтов ВГТРК Smotrim[.]ru. Об этом написали несколько СМИ и, на фоне множества дефейсов с 24 февраля, на это никто особого внимания не обратил. Но тут было на что посмотреть с точки зрения того, что именно было взломано.

Сам сайт содержал антивоенные лозунги и выглядел следующим образом (надписи были убраны автором статьи):

Обратили внимание на https?

Да, сертификат не соответствовал домену, почему? В руках атакующих оказался валидный wildcard сертификат, но от *[.]vgtrk[.]ru. А к smotrim[.]ru он не подходил.

В целом, это очень серьезное подспорье для фишинга, но, видимо, им не смогли в должной степени воспользоваться.

Но, стоп, почему при дефейсе вообще трогали сертификат? А потому что это не тот сервер, и это был не дефейс.

При переходе по доменному имени меня отправило в Украину! Ну что ж, похоже, что у ВГТРК поменяли DNS-запись в панели управления регистратора, вот и перебрасывает куда попало. А Google DNS еще об этом не слышал, поэтому и видно вот такую картину:

IP 45.134.174[.]108 — сервер в Украине.

IP 178.248.232[.]222 — настоящий сервер ВГТРК, который прекрасно работал в момент проверки и продолжал вещание.

Было решено попробовать сделать Flush DNS и удостовериться, что Google просто отстает. Сделано, ситуация не изменилась. Google все еще видит правильный IP. DNS Cloudflare (1.1.1.1) тоже.

И сейчас, по прошествии более 1,5 месяцев, в DNS-history (Истории IP-адресов домена), нет ничего об украинском IP 45.134.174.108!

Для всего интернета вне РФ, такой записи и не было. Так кто же меня тогда отправляет на украинский сервер? DNS провайдера?

Проверяю DNS в различных конфигурациях:

- DNS провайдера МТС в Украину.

- DNS провайдер Йота в Украину.

- DNS провайдер Ростелеком в Украину.

- DNS Google на настоящий сервер.

- ЛЮБОЙ зарубежный DNS на настоящий сервер.

Итак, спуффингу оказались подвержены только российские провайдеры, зарубежные DNS даже постфактум не узнали о проблеме. А что объединяет всех провайдеров России и DNS? Национальная система доменных имен (НСДИ), это единая точка отказа, только она могла затронуть все DNS провайдеров России и не задеть всех остальных.

Автору доподлинно неизвестно, каким образом была совершена атака по отравлению НСДИ, возможно ли влиять на НСДИ легальным образом через какую-либо панель владельца записи и вручную поменять запись. Но сам факт того, что кто-то смог завернуть трафик всех провайдеров России в Украину вызывает опасение. Неужели так легко превратить НСДИ в Национальную систему DNS спуффинга?

Особенно автора статьи удивило то, что никто этого и не заметил, а кто заметил, предпочёл об этом умолчать. Это еще повезло, что атаку не смогли эффективно использовать. Или смогли? И об этом тоже умолчали? Так мы явно безопасный рунет не построим.

Пост с навигацией по Коту

Подпишись, чтобы не пропустить новые интересные посты!