Виталий Моргунов, 10/06/25
Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.
Автор: Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
Виды опасных конфигураций
Опасные конфигурации можно разделить на две большие группы.
Первая группа – настройки компонентов ОС и ПО, при некорректном или избыточном использовании которых открываются новые векторы развития атак. Разработчики ОС и ПО стремятся создавать максимально адаптивные продукты, способные подстраиваться под массовую аудиторию. При этом они не всегда задумываются, в каких сценариях пользователи будут применять такие гибкие настройки. Это и приводит к тому, что у злоумышленников появляются потенциальные векторы для продвижения по инфраструктуре.
Вторая группа – ненастроенные механизмы для усиления защиты ОС и ПО. К таким конфигурациям относится, например, игнорирование существующих механизмов безопасности ОС или их неполноценное применение. Штатная конфигурация ОС и ПО не всегда подразумевает использование всех защитных механизмов из коробки – им нужна дополнительная настройка, а пользователи и администраторы часто это игнорируют.
Последствия небезопасных конфигураций
Современные инфраструктуры – это множество устройств, еще больше уникального ПО и бесконечное число вариантов его настройки. Значимая часть конфигураций напрямую влияет на безопасность как устройств и ПО, так и инфраструктуры в целом. Неверные настройки ведут к различным последствиям:
- упрощается передвижение злоумышленника по инфраструктуре;
- нарушается безопасность хранения критичных данных, например учетных;
- ослабляются механизмы защиты ОС и другие средства безопасности;
- усложняется процесс реагирования и расследования инцидентов;
- становятся доступными новые векторы для повышения привилегий.
Поэтому так важно контролировать критичные конфигурации ОС и ПО, а также проводить их харденинг.
Контроль конфигураций
Возникает резонный вопрос: как эффективно контролировать конфигурации в endpoint-инфраструктуре?
В BI.ZONE мы подходим к этому через полноценную защиту конечных точек. Недостаточно просто мониторить активность и угрозы на устройствах – важно оценивать безопасность конфигураций ОС и ПО, то есть искать как небезопасные настройки, так и уязвимое ПО. Такой анализ идет непрерывно и отличается от классического EDR-мониторинга тем, что защищает инфраструктуру превентивно, еще до атаки. Этот компонент BI.ZONE EDR мы называем Threat Prediction, и он входит в состав решения, помогая находить настройки, которыми могут воспользоваться злоумышленники.
Компонент работает по следующему сценарию:
- Администраторы кибербезопасности и ИТ тиражируют EDR-агент на все конечные точки (Windows, Linux и macOS), а также устанавливают необходимые компоненты.
- EDR-агент собирает телеметрию о состоянии ОС и ПО, а компонент Threat Prediction ее анализирует. При выявлении небезопасных настроек компонент формирует для аналитика отчет с описанием рекомендаций по безопасности. Кроме того, самые критичные настройки ОС и ПО ставятся на мониторинг изменений в реальном времени – это позволяет отслеживать попытки привести систему в уязвимое состояние.
- Аналитик получает перечень алертов, в котором содержатся выявленные компонентом Threat Prediction небезопасные конфигурации и рекомендации по их устранению, а также классические события и информация о выявленных угрозах. Затем он принимает решения и меры по их устранению.
EDR не только становится средством мониторинга и реагирования на угрозы, но и дает полную информацию о настройках ОС и ПО, которая позволяет выявлять незащищенные места в инфраструктуре. Своевременное устранение таких небезопасных конфигураций существенно усложняет злоумышленникам развитие атаки.
Эксперты BI.ZONE регулярно исследуют ландшафт угроз, публичные и непубличные материалы, анализируют ОС и ПО на предмет потенциально небезопасных настроек, что позволяет непрерывно наполнять и актуализировать базу небезопасных конфигураций, которая уже включает более 500 проверок.
Threat Prediction входит в состав сервиса BI.ZONE TDR – компонент анализирует небезопасные настройки, а обнаружив их, уведомляет ответственных инженеров.
BI.ZONE TDR (SOC/MDR) – сервис по мониторингу и реагированию на киберинциденты, в том числе с использованием BI.ZONE EDR под управлением экспертов BI.ZONE.
Примеры небезопасных конфигураций
Вот несколько примеров самых критических и распространенных небезопасных конфигураций, которые выявляет BI.ZONE EDR.
Пример 1. Слабые пользовательские пароли
Одна из частых причин инцидентов – слабые пароли на локальных устройствах и в Active Directory. Злоумышленники эксплуатируют такие недостатки, применяя методы подбора паролей или используя заранее скомпрометированные списки учетных данных. Встроенные учетные записи, вроде Administrator, часто защищены паролями admin123 или password – это позволяет атакующим быстро получить доступ к системе.
По статистике BI.ZONE TDR, на каждом пятидесятом устройстве в локальной сети есть хотя бы одна учетная запись с небезопасным паролем, а в Active Directory слабый пароль – в среднем у 5–7% учетных записей.
Пример 2. Нет обязательной аутентификации для доступа к базе данных
Открытые базы данных без обязательной аутентификации позволяют злоумышленникам выгружать, изменять или удалять данные. Кроме того, атакующие могут использовать БД как отправную точку для входа в инфраструктуру, особенно если в базе хранятся учетные данные или API-ключи.
Проблема наиболее распространена в средах DevOps, где БД разворачиваются быстро (например, через Docker) с минимальными настройками безопасности, а также в устаревших системах, где конфигурации не пересматривались годами.
Уязвимы, в частности, PostgreSQL, ClickHouse, MongoDB. Утечки из MongoDB, эксплуатация открытых ClickHouse-инстансов в аналитических кластерах и другие инциденты показывают, что такие небезопасные конфигурации остаются актуальной угрозой.
По статистике BI.ZONE TDR, в каждой второй инфраструктуре есть проблема с настройками доступа к БД.
Пример 3. В настройках ОС включен SMBv1
Одна из распространенных ошибок – использование устаревшего и небезопасного протокола SMBv1, который часто остается активным на хостах, особенно в устаревших системах. Он позволяет злоумышленникам компрометировать учетные записи и эксплуатировать уязвимости этой версии протокола. Яркий пример – массовое заражение ВПО WannaCry, которое самораспространялось через уязвимость в SMBv1.
По статистике BI.ZONE TDR, протокол все еще активен на 8% устройств, несмотря на рекомендации отключить его с октября 2017 года.
Пример 4. Учетная запись "Гость" в локальной группе "Администраторы"
Эта ошибка редкая, но опасная. В Windows учетная запись "Гость" (Guest) по умолчанию предназначена для ограниченного доступа, не требует пароля и отключена в большинстве современных систем. Но из-за ручной настройки, устаревших скриптов миграции или ошибок администрирования эта учетная запись может быть активирована и добавлена в группу "Администраторы" (Administrators). Воспользовавшись этим, злоумышленник может получить полный контроль над системой.
По статистике BI.ZONE TDR, в 5% инфраструктур учетная запись "гость" добавлена в группу "администраторы".
Пример 5. Конфигурации ОС и ПО, при которых учетные данные хранятся в открытом виде
Есть множество вариаций конфигураций ОС и ПО, которые напрямую влияют на способ хранения учетных данных. Например, использование Group Policy Preferences в старых версиях Active Directory, где пароли для локальных учетных записей или служб могли храниться в XML-файлах (например, Groups.xml) в общих папках SYSVOL. С этими настройками злоумышленникам гораздо легче получить учетные данные для дальнейшего развития атаки.
По статистике BI.ZONE TDR, примерно в 30% современных инфраструктур встречаются конфигурации, влияющие на хранение учетных данных в открытом виде.
Пример 6. Небезопасная конфигурация CMS
Системы управления контентом (Content Management System, CMS) часто используются для публичного доступа извне. Критически важно контролировать и безопасно настраивать публичные приложения, поскольку именно с их помощью злоумышленники чаще всего получают первоначальный доступ в инфраструктуру. Например, одна из распространенных небезопасных конфигураций – незавершенная настройка продукта. Администраторы часто не удаляют чувствительные артефакты (скрипты), которые остаются доступны извне. Это позволяет злоумышленникам сбросить конфигурации системы и настройки аутентификации.
По статистике BI.ZONE TDR, в 16% инфраструктур, где используются популярные CMS, встречаются небезопасные конфигурации.
Сценариев, в которых злоумышленники используют небезопасные конфигурации, гораздо больше – это подчеркивает масштаб проблемы, а также важность контроля инфраструктуры. Решение BI.ZONE EDR, сервис BI.ZONE TDR и классический мониторинг угроз позволяют осуществлять такой контроль, а также подсвечивают внутренним службам безопасности потенциальные недостатки в конфигурациях для их исправления и митигации рисков.
Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjbvsXsT
