Тема 2. Уязвимости и атаки.

Управление угрозами безопасности

 2

Цели темы

• Сравнивайте и противопоставляйте различные типы методов

социальной инженерии.
• Объяснение различных субъектов угроз, векторов атак и
источников разведывательной информации.
• Объяснение вопросов безопасности, связанных с различными
типами уязвимостей.
 3

Уязвимости

Уязвимость (от латинского слова «рана») определяется как состояние

подверженности риску нападения или причинения вреда.

Уязвимости кибербезопасности можно разделить на Уязвимости:

• платформы,
• конфигурации,
• третьи лица,
• Patch,
• уязвимости нулевого дня.
 4

Платформы

Некоторые уязвимости являются результатом использования

платформы.
Компьютерная платформа – это система, состоящая из аппаратное
устройство и операционная система (ОС), на которой работает
программное обеспечение, такое как приложения, программы или
процессы.
Хотя все платформы в той или иной степени имеют уязвимости,
некоторые платформы по самой своей природе имеют более
серьезные уязвимости. К ним относятся:
• устаревшие платформы,
• локальные платформы,
• облачные платформы.
 5

Платформы
Устаревшие платформы Один из типов платформ, хорошо известный своими
уязвимостями, — это устаревшие платформы. Устаревшая платформа больше не
широко используется, часто потому, что она была заменена обновленной версией
более ранней технологии.
Хотя устаревшее оборудование содержит некоторые уязвимости, чаще всего
уязвимости возникают в устаревшем программном обеспечении, таком как ОС или
программа.
Программное обеспечение современных ОС, такое как Microsoft Windows, Apple
macOS и Linux, постоянно развивается и обновляется новыми улучшениями и, что
наиболее важно, исправлениями обнаруженных уязвимостей.
По ряду причин — ограниченная мощность оборудования, приложение, которое
работает только с определенной версией ОС или даже пренебрежение —
операционная система может не обновляться, что лишает ее этих исправлений
безопасности.
Это создает устаревшую платформу, которая просто просит, чтобы ее атаковали.
!!! До Microsoft Windows 10 все версии ОС имели фиксированную политику
жизненного цикла с опубликованными даты окончания поддержки. Например,
Windows 7 была впервые выпущена в октябре 2009 года, а в октябре 2016 года ее
больше нельзя было приобрести, вся поддержка прекращена в январе 2020 года.
Однако в Windows 10 появился современный жизненный цикл. Политика, согласно
которой версии Windows 10 получают постоянную поддержку и обслуживание.
 6

Локальные платформы

Еще одна платформа, имеющая значительные уязвимости, — это локальная платформа.

Локальное оборудование («on-premise») — это программное обеспечение и технологии,
расположенные в физических пределах предприятия, которые обычно консолидируются в центре
обработки данных компании.
Когда-то локальная платформа считалась безопасной моделью вычислений: серверы и данные
организации были защищены межсетевыми экранами для предотвращения атак.
Однако эта модель оказалась ошибочной. Организации обнаружили, что им необходимо добавить
больше серверов, сетевых ресурсов, поддержку удаленного доступа и новое программное
обеспечение для поддержки новых бизнес-процессов и потребностей пользователей. Это часто
приводило к появлению мешанины ресурсов, которые быстро выделялись, но не настраивались
должным образом для безопасности.
Кроме того, многочисленные точки входа извне в локальную платформу например:
• через USB-накопители,
• передачу по беспроводной сети,
• мобильные устройства
• сообщения электронной почты
сделали защиту локальной платформы постоянно меняющейся и бесконечной задачей.
 7

Облачные платформы

Сорок лет назад, когда вычислительные технологии получили широкое распространение, предприятия
использовали локальную модель, при которой они приобретали все аппаратное и программное
обеспечение, необходимое для управления организацией. Поскольку требовалось больше ресурсов,
делалось больше закупок и нанималось больше персонала для управления технологией. Поскольку это
привело к стремительному росту затрат, некоторые предприятия обратились к хостинговым услугам.
В среде размещенных служб серверы, хранилище и поддерживающая сетевая инфраструктура
совместно используются несколькими предприятиями через удаленное сетевое соединение, по
которому заключен контракт на определенный период времени. По мере необходимости большего
количества ресурсов (например, дополнительного места для хранения или вычислительной мощности)
предприятие связывается с размещенной службой, договаривается о дополнительной плате и
подписывает новый контракт на эти новые услуги.
Сегодня новая модель получает широкое распространение. Это модель вычислений с оплатой по факту
использования, известная как облачная платформа, в которой клиенты платят только за те онлайн-
вычислительные ресурсы, которые им необходимы. По мере увеличения или уменьшения
вычислительных потребностей ресурсы облачных вычислений можно увеличивать или уменьшать.
Однако оказалось, что облачные платформы имеют значительные уязвимости. Уязвимости чаще всего
возникают из-за неправильных настроек персонала компании, ответственного за безопасность облачной
платформы. Облачные ресурсы, по определение, доступное практически из любого места, что
подвергает платформы облачных вычислений постоянным атакам со стороны злоумышленников,
ищущих уязвимости.
 8

Конфигурирование системы
Современные аппаратные и программные платформы предоставляют множество функций и настроек
безопасности, которые необходимо правильно настроить для отражения атак. Однако параметры
конфигурации часто не реализуются должным образом, что приводит к слабым результатам
конфигурации. В Таблице перечислены несколько слабых конфигураций, которые могут привести к
уязвимостям.
 9

Третьи стороны
Почти все предприятия используют внешние организации, известные как третьи стороны. Примерами третьих лиц являются
маркетинговые агентства, юристы, ИТ-компании.

Учитывая большое количество задействованных третьих сторон, может быть сложно координировать их различную деятельность с
организацией. Управление поставщиками — это процесс, который организации используют для мониторинга и управления
взаимодействием со всеми внешними третьими сторонами.

Почти всем третьим лицам сегодня требуется доступ к компьютерной сети организации. Доступ дает внешним организациям
возможность выполнять свои функции, связанные с ИТ (например, разработку кода на аутсорсинге).

Связь между организацией и третьей стороной называется системной интеграцией. Однако системы организации часто
несовместимы со сторонними системами, что требует «обходных решений», которые могут создавать уязвимости. Кроме того, не
все организации обладают необходимым опытом для управления системной интеграцией (отсутствие поддержки со стороны
поставщиков).

Один из основных рисков интеграции сторонних систем связан с принципом самого слабого звена. То есть, если безопасность
третьей стороны слаба, это может дать злоумышленникам возможность проникнуть в организацию.

Это можно проиллюстрировать атакой на розничную сеть Target в 2013 году. Компания заключила договор с третьей стороной на
мониторинг систем охлаждения, отопления и кондиционирования воздуха. Доступ был предназначен для того, чтобы позволить
субподрядчику контролировать использование энергии и температуру в магазинах, чтобы сэкономить средства и
предупреждать менеджеров магазинов, если температура выходит за пределы приемлемого диапазона.

Кибер-злоумышленники смогли получить доступ к компьютерной сети третьей стороны, а затем и к целевой сети, где они украли
40 миллионов номеров кредитных карт.
 10
Patches
Ранние ОС были просто загрузчиками программ, задачей которых был запуск
приложений. По мере добавления новых функций и графических пользовательских
интерфейсов (GUI) операционные системы становились более сложными.
Повышенная сложность привела к появлению непреднамеренных уязвимостей,
которыми могли воспользоваться злоумышленники. Кроме того, новые инструменты
атак сделали уязвимыми функции и службы операционных систем, которые когда-то
считались безопасными.
Чтобы устранить уязвимости в ОС, обнаруженные после выпуска программного
обеспечения, разработчики программного обеспечения обычно внедряют «patches»
программного обеспечения. Patche может иметь различные форматы. Patch — это
официально выпущенное программное обеспечение, обновление безопасности,
предназначенное для устранения уязвимости.
Однако, какими бы важными ни были патчи, они могут создавать уязвимости:
 11
Patches
Уязвимости:
• Сложность прошивки (firmware). Прошивка или программное обеспечение,
встроенное в оборудование, обеспечивает низкоуровневое управление и
инструкции для оборудования. Обновление прошивки для устранения уязвимости
часто может быть трудным и требует специальных действий. Кроме того, некоторые
прошивки невозможно исправить.
• Несколько патчей для прикладного ПО. За исключением основного прикладного
программного обеспечения, такого как Microsoft Office, исправления для
приложений встречаются редко. В большинстве случаев никакой
автоматизированный процесс не может определить, на каких компьютерах
установлено приложение, предупредить пользователей об обновлении или
распространить его.
• Задержки в обновлении ОС. Современные операционные системы, такие как Red
Hat Linux, Apple macOS, Ubuntu Linux и Microsoft Windows, часто распространяют
исправления. Однако эти исправления иногда могут создавать новые проблемы,
например, препятствовать правильной работе пользовательского приложения.
Многие организации тестируют исправления при их выпуске, чтобы убедиться, что
они не оказывают негативного влияния на настроенные приложения. В таких случаях
организация откладывает установку исправления из онлайн-службы обновлений
разработчика до тех пор, пока оно не будет тщательно протестировано.
 Нулевой день
zero day
Как отмечалось ранее, исправления создаются и распространяются, когда
разработчик программного обеспечения узнает об уязвимости и исправляет
ее. Что произойдет, если не разработчик обнаружит уязвимость, а
злоумышленник обнаружит ее первым?
В этом случае злоумышленники могут воспользоваться уязвимостью еще до
того, как кто-либо еще узнает о ее существовании. Этот тип уязвимости
называется нулевым днем, поскольку он обеспечивает нулевой день
предупреждения.
Уязвимости нулевого дня считаются чрезвычайно серьезными: системы
открыты для атак без каких-либо конкретных исправлений.
Однако другие меры защиты могут смягчить атаку нулевого дня.
Например, некоторые средства защиты используют машинное обучение
для сбора данных о ранее обнаруженных эксплойтах и создания базового
уровня безопасного поведения системы, что может помочь обнаружить
атаку, основанную на уязвимости нулевого дня.
 Векторы атак

Вектор атаки — это путь или путь, используемый злоумышленником для

проникновения в систему.
Хотя существует множество конкретных типов атак, таких как уязвимости, векторы
атак можно сгруппировать в следующие общие категории:
• Электронная почта. Почти 94 процента всех вредоносных программ доставляются по
электронной почте ничего не подозревающим пользователям. Цель состоит в том,
чтобы обманом заставить пользователя открыть вложение, содержащее
вредоносное ПО, или щелкнуть гиперссылку, которая приведет пользователя на
фиктивный веб-сайт.
• Беспроводная связь. Поскольку беспроводная передача данных «плывет» по
радиоволнам, она может быть перехвачена, прочитана или изменена
злоумышленником, если передача не защищена должным образом.
• Съемные медиа. Съемный носитель, например USB-накопитель, является
распространенным вектором атаки. Известно, что злоумышленники заражали USB-
накопители вредоносным ПО и оставляли их разбросанными на парковке или в
кафетерии. Сотрудник из лучших побуждений найдет диск и вставит его в свой
компьютер, чтобы определить его владельца. Однако после вставки USB-накопитель
заразит компьютер.
• Прямой доступ. Вектор прямого доступа возникает, когда злоумышленник может
получить прямой физический доступ к компьютеру. Как только злоумышленник
сможет «прикоснуться» к машине, он сможет вставить USB-накопитель с
альтернативной операционной системой и перезагрузить компьютер под
альтернативной ОС, чтобы обойти защиту компьютера.
 Векторы атак

• Социальные сети. Злоумышленники часто используют социальные сети в

качестве вектора атак. Например, злоумышленник может прочитать
сообщения в социальных сетях, чтобы определить, когда сотрудник будет в
отпуске, а затем позвонить в службу поддержки организации, выдавая себя
за этого сотрудника, и попросить «экстренный» доступ к учетной записи.
• Цепочка поставок. Цепочка поставок — это сеть, которая перемещает
продукт от поставщика к покупателю и состоит из поставщиков,
поставляющих сырье, производителей, которые преобразуют материал в
продукцию, складов, на которых хранится продукция, распределительных
центров, которые доставляют ее розничным торговцам, и розничные
продавцы, которые привозят товар потребителю. Сегодняшние цепочки
поставок носят глобальный характер: производители обычно находятся за
тысячи миль от других стран и не находятся под прямым контролем
предприятия, продающего продукцию. Тот факт, что продукты проходят
множество этапов в цепочке поставок – и что некоторые этапы не
контролируются тщательно – открыл возможности для внедрения
вредоносного ПО в продукты во время их производства или хранения (так
называемая цепочка поставок). Цепочки поставок также являются
уязвимыми местами для третьих сторон.
• Облако (cloud). Поскольку предприятия перемещают свои вычислительные
ресурсы на удаленные облачные серверы и устройства хранения данных,
злоумышленники пользуются сложностью этих систем, чтобы найти слабые
места в безопасности.
 Векторы атак

• Уязвимости кибербезопасности часто подразделяются на пять широких категорий: платформы,

конфигурации, третьи лица, patches и уязвимости нулевого дня. Некоторые уязвимости являются
результатом использования платформы. Устаревшие платформы не обновлялись и являются
основными объектами атак. Локальные платформы расположены в пределах физических границ
предприятия и обычно консолидируются в центре обработки данных компании. Из-за быстрого
предоставления ресурсов локальные платформы часто не настроены должным образом для
обеспечения безопасности. Доказано, что облачные платформы имеют значительные уязвимости. Эти
уязвимости чаще всего возникают из-за неправильных настроек персонала компании, ответственного
за безопасность облачной платформы.
• Современные аппаратные и программные платформы предоставляют широкий набор функций и
настроек безопасности, которые необходимо правильно настроить для отражения атак. К сожалению,
параметры конфигурации не всегда реализованы должным образом, что приводит к слабым
конфигурациям. Многие предприятия также используют услуги третьих лиц, связанных с ИТ, из-за их
высокого уровня знаний. Практически всем третьим лицам требуется доступ к компьютерной сети
организации. Однако часто системы организации несовместимы с системами третьих сторон и требуют
обходных путей, что может создать уязвимости.
• Исправление безопасности (patches)— это официально выпущенное обновление безопасности
программного обеспечения, предназначенное для устранения уязвимости. Однако, какими бы
важными ни были исправления, они могут создавать уязвимости.
• Уязвимость нулевого дня не имеет предварительного предупреждения, поскольку ранее об этой
уязвимости не было известно.
• Вектор атаки — это путь используемый злоумышленником для проникновения в систему. Хотя
существует множество конкретных типов атак, их векторы можно сгруппировать в общие категории. К
ним относятся электронная почта, беспроводная связь, съемные носители, прямой доступ, социальные
сети, цепочка поставок и облако.