Контакты
Подписка 2025
Статьи по информационной безопасности

Управление конфигурациями: как защититься до атаки

Виталий Моргунов, 10/06/25

Гибкость конфигураций – преимущество, которое позволяет настроить инфраструктуру под конкретные нужды и эффективно решать бизнес-задачи. В то же время она может приводить к ошибкам, которыми пользуются злоумышленники. По данным сервиса BI.ZONE TDR, 66% хостов в российских компаниях имеют хотя бы одну опасную мисконфигурацию. Разберемся, как такие настройки приводят к атакам, и как подход BI.ZONE помогает заранее выявить и устранить ошибки.

Автор: Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR

Виды опасных конфигураций

Опасные конфигурации можно разделить на две большие группы.

Первая группа – настройки компонентов ОС и ПО, при некорректном или избыточном использовании которых открываются новые векторы развития атак. Разработчики ОС и ПО стремятся создавать максимально адаптивные продукты, способные подстраиваться под массовую аудиторию. При этом они не всегда задумываются, в каких сценариях пользователи будут применять такие гибкие настройки. Это и приводит к тому, что у злоумышленников появляются потенциальные векторы для продвижения по инфраструктуре.

Вторая группа – ненастроенные механизмы для усиления защиты ОС и ПО. К таким конфигурациям относится, например, игнорирование существующих механизмов безопасности ОС или их неполноценное применение. Штатная конфигурация ОС и ПО не всегда подразумевает использование всех защитных механизмов из коробки – им нужна дополнительная настройка, а пользователи и администраторы часто это игнорируют.

Последствия небезопасных конфигураций

Современные инфраструктуры – это множество устройств, еще больше уникального ПО и бесконечное число вариантов его настройки. Значимая часть конфигураций напрямую влияет на безопасность как устройств и ПО, так и инфраструктуры в целом. Неверные настройки ведут к различным последствиям:

  • упрощается передвижение злоумышленника по инфраструктуре;
  • нарушается безопасность хранения критичных данных, например учетных;
  • ослабляются механизмы защиты ОС и другие средства безопасности;
  • усложняется процесс реагирования и расследования инцидентов;
  • становятся доступными новые векторы для повышения привилегий.

Поэтому так важно контролировать критичные конфигурации ОС и ПО, а также проводить их харденинг.

Контроль конфигураций

Возникает резонный вопрос: как эффективно контролировать конфигурации в endpoint-инфраструктуре?

В BI.ZONE мы подходим к этому через полноценную защиту конечных точек. Недостаточно просто мониторить активность и угрозы на устройствах – важно оценивать безопасность конфигураций ОС и ПО, то есть искать как небезопасные настройки, так и уязвимое ПО. Такой анализ идет непрерывно и отличается от классического EDR-мониторинга тем, что защищает инфраструктуру превентивно, еще до атаки. Этот компонент BI.ZONE EDR мы называем Threat Prediction, и он входит в состав решения, помогая находить настройки, которыми могут воспользоваться злоумышленники.

Компонент работает по следующему сценарию:

  1. Администраторы кибербезопасности и ИТ тиражируют EDR-агент на все конечные точки (Windows, Linux и macOS), а также устанавливают необходимые компоненты.
  2. EDR-агент собирает телеметрию о состоянии ОС и ПО, а компонент Threat Prediction ее анализирует. При выявлении небезопасных настроек компонент формирует для аналитика отчет с описанием рекомендаций по безопасности. Кроме того, самые критичные настройки ОС и ПО ставятся на мониторинг изменений в реальном времени – это позволяет отслеживать попытки привести систему в уязвимое состояние.
  3. Аналитик получает перечень алертов, в котором содержатся выявленные компонентом Threat Prediction небезопасные конфигурации и рекомендации по их устранению, а также классические события и информация о выявленных угрозах. Затем он принимает решения и меры по их устранению.

EDR не только становится средством мониторинга и реагирования на угрозы, но и дает полную информацию о настройках ОС и ПО, которая позволяет выявлять незащищенные места в инфраструктуре. Своевременное устранение таких небезопасных конфигураций существенно усложняет злоумышленникам развитие атаки.

Эксперты BI.ZONE регулярно исследуют ландшафт угроз, публичные и непубличные материалы, анализируют ОС и ПО на предмет потенциально небезопасных настроек, что позволяет непрерывно наполнять и актуализировать базу небезопасных конфигураций, которая уже включает более 500 проверок.

Threat Prediction входит в состав сервиса BI.ZONE TDR – компонент анализирует небезопасные настройки, а обнаружив их, уведомляет ответственных инженеров.

BI.ZONE TDR (SOC/MDR) – сервис по мониторингу и реагированию на киберинциденты, в том числе с использованием BI.ZONE EDR под управлением экспертов BI.ZONE.

ris2_w-Jun-10-2025-10-44-55-7913-AM

Примеры небезопасных конфигураций

Вот несколько примеров самых критических и распространенных небезопасных конфигураций, которые выявляет BI.ZONE EDR.

Пример 1. Слабые пользовательские пароли

Одна из частых причин инцидентов – слабые пароли на локальных устройствах и в Active Directory. Злоумышленники эксплуатируют такие недостатки, применяя методы подбора паролей или используя заранее скомпрометированные списки учетных данных. Встроенные учетные записи, вроде Administrator, часто защищены паролями admin123 или password – это позволяет атакующим быстро получить доступ к системе.

По статистике BI.ZONE TDR, на каждом пятидесятом устройстве в локальной сети есть хотя бы одна учетная запись с небезопасным паролем, а в Active Directory слабый пароль – в среднем у 5–7% учетных записей.

Пример 2. Нет обязательной аутентификации для доступа к базе данных

Открытые базы данных без обязательной аутентификации позволяют злоумышленникам выгружать, изменять или удалять данные. Кроме того, атакующие могут использовать БД как отправную точку для входа в инфраструктуру, особенно если в базе хранятся учетные данные или API-ключи.

Проблема наиболее распространена в средах DevOps, где БД разворачиваются быстро (например, через Docker) с минимальными настройками безопасности, а также в устаревших системах, где конфигурации не пересматривались годами.

Уязвимы, в частности, PostgreSQL, ClickHouse, MongoDB. Утечки из MongoDB, эксплуатация открытых ClickHouse-инстансов в аналитических кластерах и другие инциденты показывают, что такие небезопасные конфигурации остаются актуальной угрозой.

По статистике BI.ZONE TDR, в каждой второй инфраструктуре есть проблема с настройками доступа к БД.

Пример 3. В настройках ОС включен SMBv1

Одна из распространенных ошибок – использование устаревшего и небезопасного протокола SMBv1, который часто остается активным на хостах, особенно в устаревших системах. Он позволяет злоумышленникам компрометировать учетные записи и эксплуатировать уязвимости этой версии протокола. Яркий пример – массовое заражение ВПО WannaCry, которое самораспространялось через уязвимость в SMBv1.

По статистике BI.ZONE TDR, протокол все еще активен на 8% устройств, несмотря на рекомендации отключить его с октября 2017 года.

Пример 4. Учетная запись "Гость" в локальной группе "Администраторы"

Эта ошибка редкая, но опасная. В Windows учетная запись "Гость" (Guest) по умолчанию предназначена для ограниченного доступа, не требует пароля и отключена в большинстве современных систем. Но из-за ручной настройки, устаревших скриптов миграции или ошибок администрирования эта учетная запись может быть активирована и добавлена в группу "Администраторы" (Administrators). Воспользовавшись этим, злоумышленник может получить полный контроль над системой.

По статистике BI.ZONE TDR, в 5% инфраструктур учетная запись "гость" добавлена в группу "администраторы".

Пример 5. Конфигурации ОС и ПО, при которых учетные данные хранятся в открытом виде

Есть множество вариаций конфигураций ОС и ПО, которые напрямую влияют на способ хранения учетных данных. Например, использование Group Policy Preferences в старых версиях Active Directory, где пароли для локальных учетных записей или служб могли храниться в XML-файлах (например, Groups.xml) в общих папках SYSVOL. С этими настройками злоумышленникам гораздо легче получить учетные данные для дальнейшего развития атаки.

По статистике BI.ZONE TDR, примерно в 30% современных инфраструктур встречаются конфигурации, влияющие на хранение учетных данных в открытом виде.

Пример 6. Небезопасная конфигурация CMS

Системы управления контентом (Content Management System, CMS) часто используются для публичного доступа извне. Критически важно контролировать и безопасно настраивать публичные приложения, поскольку именно с их помощью злоумышленники чаще всего получают первоначальный доступ в инфраструктуру. Например, одна из распространенных небезопасных конфигураций – незавершенная настройка продукта. Администраторы часто не удаляют чувствительные артефакты (скрипты), которые остаются доступны извне. Это позволяет злоумышленникам сбросить конфигурации системы и настройки аутентификации.

По статистике BI.ZONE TDR, в 16% инфраструктур, где используются популярные CMS, встречаются небезопасные конфигурации.

Сценариев, в которых злоумышленники используют небезопасные конфигурации, гораздо больше – это подчеркивает масштаб проблемы, а также важность контроля инфраструктуры. Решение BI.ZONE EDR, сервис BI.ZONE TDR и классический мониторинг угроз позволяют осуществлять такой контроль, а также подсвечивают внутренним службам безопасности потенциальные недостатки в конфигурациях для их исправления и митигации рисков.

Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjbvsXsT
Темы:BI.ZoneEDRУправление конфигурациямиЖурнал "Информационная безопасность" №2, 2025BI.ZONE EDR
ТБ Форум 2026
Только на ТБ Форуме. Планы регуляторов на 2026, практика ИБ: СЗИ, КИИ, РБПО, сертификация, аттестация
Формируем ландшафт российской ИБ: регистрируйтесь →

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Статьи по той же темеСтатьи по той же теме

  • От гипотезы к инсайту: пора ли внедрять Threat Hunting?
    Владислав Бурцев, руководитель отдела анализа киберугроз в BI.ZONE
    Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикла публикаций о ключевых аспектах функционирования SOC. Очередная статья посвящена Threat Hunting – проактивному поиску угроз.
  • Управление командой: как организовать работу дежурной смены
    Роман Одегов, руководитель отдела оперативного обнаружения киберугроз в BI.ZONE
    Шестая статья цикла публикаций посвящена управлению командой на примере дежурной смены. Работа в ней связана с регулярным выполнением однотипных задач, что в условиях высокой нагрузки может приводить к пропуску инцидентов из-за снижения концентрации, а также к демотивации и выгоранию аналитиков. Как же этого не допустить?
  • Случился инцидент – вы готовы к реагированию?
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Очередная статья цикла публикаций о ключевых аспектах функционирования SOC посвящена реагированию на инциденты и их расследованию. Автор подготовил чек-лист, который поможет вам оценить свою готовность к реагированию.
  • Анализ событий в SOC: что важно?
    Андрей Дудин, эксперт по мониторингу и анализу инцидентов кибербезопасности BI.ZONE TDR
    Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий.
  • Как баг-баунти помогает e-commerce снижать киберриски: опыт "Авито" и BI.ZONE Bug Bounty
    "Авито" одним из первых в российском e-commerce запустил баг-баунти-программу. Сначала на зарубежной платформе, а сегодня активно развивает публичную программу на российской площадке BI.ZONE Bug Bounty. Мы поговорили с Екатериной Пухаревой, руководителем продуктовой безопасности "Авито", и Андреем Лёвкиным, руководителем продукта BI.ZONE Bug Bounty.
  • Обнаружение угроз в SOC: что влияет на эффективность
    Андрей Шаляпин, руководитель BI.ZONE TDR
    Во втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффективность обнаружения?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум 2026
На ТБ Форуме 2026: СЗИ, РБПО, КИИ, сертификация
Регистрация открыта →

More...
ТБ Форум 2026
Безопасность АСУ ТП и КИИ на ТБ Форуме 2026
Регистрация открыта →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных