Автор: Виталий Моргунов, руководитель управления развития технологий BI.ZONE EDR
Опасные конфигурации можно разделить на две большие группы.
Первая группа – настройки компонентов ОС и ПО, при некорректном или избыточном использовании которых открываются новые векторы развития атак. Разработчики ОС и ПО стремятся создавать максимально адаптивные продукты, способные подстраиваться под массовую аудиторию. При этом они не всегда задумываются, в каких сценариях пользователи будут применять такие гибкие настройки. Это и приводит к тому, что у злоумышленников появляются потенциальные векторы для продвижения по инфраструктуре.
Вторая группа – ненастроенные механизмы для усиления защиты ОС и ПО. К таким конфигурациям относится, например, игнорирование существующих механизмов безопасности ОС или их неполноценное применение. Штатная конфигурация ОС и ПО не всегда подразумевает использование всех защитных механизмов из коробки – им нужна дополнительная настройка, а пользователи и администраторы часто это игнорируют.
Современные инфраструктуры – это множество устройств, еще больше уникального ПО и бесконечное число вариантов его настройки. Значимая часть конфигураций напрямую влияет на безопасность как устройств и ПО, так и инфраструктуры в целом. Неверные настройки ведут к различным последствиям:
Поэтому так важно контролировать критичные конфигурации ОС и ПО, а также проводить их харденинг.
Возникает резонный вопрос: как эффективно контролировать конфигурации в endpoint-инфраструктуре?
В BI.ZONE мы подходим к этому через полноценную защиту конечных точек. Недостаточно просто мониторить активность и угрозы на устройствах – важно оценивать безопасность конфигураций ОС и ПО, то есть искать как небезопасные настройки, так и уязвимое ПО. Такой анализ идет непрерывно и отличается от классического EDR-мониторинга тем, что защищает инфраструктуру превентивно, еще до атаки. Этот компонент BI.ZONE EDR мы называем Threat Prediction, и он входит в состав решения, помогая находить настройки, которыми могут воспользоваться злоумышленники.
Компонент работает по следующему сценарию:
EDR не только становится средством мониторинга и реагирования на угрозы, но и дает полную информацию о настройках ОС и ПО, которая позволяет выявлять незащищенные места в инфраструктуре. Своевременное устранение таких небезопасных конфигураций существенно усложняет злоумышленникам развитие атаки.
Эксперты BI.ZONE регулярно исследуют ландшафт угроз, публичные и непубличные материалы, анализируют ОС и ПО на предмет потенциально небезопасных настроек, что позволяет непрерывно наполнять и актуализировать базу небезопасных конфигураций, которая уже включает более 500 проверок.
Threat Prediction входит в состав сервиса BI.ZONE TDR – компонент анализирует небезопасные настройки, а обнаружив их, уведомляет ответственных инженеров.
BI.ZONE TDR (SOC/MDR) – сервис по мониторингу и реагированию на киберинциденты, в том числе с использованием BI.ZONE EDR под управлением экспертов BI.ZONE.
Вот несколько примеров самых критических и распространенных небезопасных конфигураций, которые выявляет BI.ZONE EDR.
Одна из частых причин инцидентов – слабые пароли на локальных устройствах и в Active Directory. Злоумышленники эксплуатируют такие недостатки, применяя методы подбора паролей или используя заранее скомпрометированные списки учетных данных. Встроенные учетные записи, вроде Administrator, часто защищены паролями admin123 или password – это позволяет атакующим быстро получить доступ к системе.
По статистике BI.ZONE TDR, на каждом пятидесятом устройстве в локальной сети есть хотя бы одна учетная запись с небезопасным паролем, а в Active Directory слабый пароль – в среднем у 5–7% учетных записей.
Открытые базы данных без обязательной аутентификации позволяют злоумышленникам выгружать, изменять или удалять данные. Кроме того, атакующие могут использовать БД как отправную точку для входа в инфраструктуру, особенно если в базе хранятся учетные данные или API-ключи.
Проблема наиболее распространена в средах DevOps, где БД разворачиваются быстро (например, через Docker) с минимальными настройками безопасности, а также в устаревших системах, где конфигурации не пересматривались годами.
Уязвимы, в частности, PostgreSQL, ClickHouse, MongoDB. Утечки из MongoDB, эксплуатация открытых ClickHouse-инстансов в аналитических кластерах и другие инциденты показывают, что такие небезопасные конфигурации остаются актуальной угрозой.
По статистике BI.ZONE TDR, в каждой второй инфраструктуре есть проблема с настройками доступа к БД.
Одна из распространенных ошибок – использование устаревшего и небезопасного протокола SMBv1, который часто остается активным на хостах, особенно в устаревших системах. Он позволяет злоумышленникам компрометировать учетные записи и эксплуатировать уязвимости этой версии протокола. Яркий пример – массовое заражение ВПО WannaCry, которое самораспространялось через уязвимость в SMBv1.
По статистике BI.ZONE TDR, протокол все еще активен на 8% устройств, несмотря на рекомендации отключить его с октября 2017 года.
Эта ошибка редкая, но опасная. В Windows учетная запись "Гость" (Guest) по умолчанию предназначена для ограниченного доступа, не требует пароля и отключена в большинстве современных систем. Но из-за ручной настройки, устаревших скриптов миграции или ошибок администрирования эта учетная запись может быть активирована и добавлена в группу "Администраторы" (Administrators). Воспользовавшись этим, злоумышленник может получить полный контроль над системой.
По статистике BI.ZONE TDR, в 5% инфраструктур учетная запись "гость" добавлена в группу "администраторы".
Есть множество вариаций конфигураций ОС и ПО, которые напрямую влияют на способ хранения учетных данных. Например, использование Group Policy Preferences в старых версиях Active Directory, где пароли для локальных учетных записей или служб могли храниться в XML-файлах (например, Groups.xml) в общих папках SYSVOL. С этими настройками злоумышленникам гораздо легче получить учетные данные для дальнейшего развития атаки.
По статистике BI.ZONE TDR, примерно в 30% современных инфраструктур встречаются конфигурации, влияющие на хранение учетных данных в открытом виде.
Системы управления контентом (Content Management System, CMS) часто используются для публичного доступа извне. Критически важно контролировать и безопасно настраивать публичные приложения, поскольку именно с их помощью злоумышленники чаще всего получают первоначальный доступ в инфраструктуру. Например, одна из распространенных небезопасных конфигураций – незавершенная настройка продукта. Администраторы часто не удаляют чувствительные артефакты (скрипты), которые остаются доступны извне. Это позволяет злоумышленникам сбросить конфигурации системы и настройки аутентификации.
По статистике BI.ZONE TDR, в 16% инфраструктур, где используются популярные CMS, встречаются небезопасные конфигурации.
Сценариев, в которых злоумышленники используют небезопасные конфигурации, гораздо больше – это подчеркивает масштаб проблемы, а также важность контроля инфраструктуры. Решение BI.ZONE EDR, сервис BI.ZONE TDR и классический мониторинг угроз позволяют осуществлять такой контроль, а также подсвечивают внутренним службам безопасности потенциальные недостатки в конфигурациях для их исправления и митигации рисков.
Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjbvsXsT