Злоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно им распорядиться.
Автор: Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
По нашим экспертным оценкам, активное сканирование злоумышленниками IP-адресов на наличие уязвимых сервисов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK [1]. Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут подготовить инструкцию и набор команд для развития векторов атак.
Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бесплатным? В первые дни, как правило, нет. До начала массовой эксплуатации уязвимости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявленных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправлено меньше половины – 47%.
Если злоумышленник стремится захватить узел, продать доступ или запустить майнер, то он может обойтись одним эксплойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привилегии, получить доступ к ключевым сегментам сети и целевым серверам, компьютерам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выполнена злоумышленниками для последующей перепродажи своих результатов специализированным группировкам, что занимает время и удлиняет цепочку атаки.
В итоге на всю атаку целиком злоумышленникам может потребоваться не 15 минут, а несколько недель. По данным Positive Technologies, за 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.
Важно максимально затруднить работу киберпреступнику, а именно сделать реализацию потенциальной атаки максимально невыгодной с точки зрения затрачиваемых ресурсов. Для этого нужно провести следующие тактические мероприятия:
Злоумышленники торопятся с выпуском эксплойтов, а значит, и вам важно действовать проактивно:
При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эшелонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка правил их детектирования требуют уникальных компетенций, которые имеют единичные представители компаний – лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях.
Поэтому применение систем управления уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экспертизой разработчика может значительно повысить уровень информированности об угрозах и фактической защищенности. Объединение экспертизы поставщика решений в сфере ИБ и знаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопасности в условиях реальных вторжений со стороны атакующих.