Когда тема ИБ вышла за пределы профессиональной аудитории и попала в федеральные СМИ, мы не можем пройти мимо. А когда речь идёт ещё и об одной из самых удобных баз уязвимостей, мы просто обязаны вставить свои 5 копеек.

Итак, представим, что с финансированием CVE всё будет плохо и российские пользователи перестанут получать информацию об актуальных уязвимостях. Руководитель технического центра «АйТи Бастион» Владимир Алтухов видит в этом ещё один шаг в направлении антиглобализации мира ИБ. Универсальный для всех специалистов на планете инструмент исчезает, поэтому возникает необходимость пользоваться чем-то своим.

Не стоит радоваться тому, что не надо будет закрывать какую-то Цэ-Вэ-Ешку – обязательно придётся закрыть очередную БДУшку!

Перед лицом глобальной проблемы у России есть пусть небольшое, но преимущество. В нашей стране уже существует отечественный Банк данных угроз информационной безопасности, он нужен и востребован, хоть пока и ограничен по географическому признаку. Гипотетическая ситуация прекращения поддержки базы CVE станет очередным вынужденным шагом к самостоятельному развитию и более скрупулёзному подходу к управлению безопасностью.

Да, с учётом геополитической нестабильности, исключать внезапное отключение от всего привычного нельзя. Поэтому в очередной раз настоятельно рекомендуем быть готовыми заранее к любому развитию событий. Базовый набор «подушки безопасности от неизвестных уязвимостей» прост:

✅ Минимизировать привилегии при доступе к целевым ресурсам. Лучше всего сделать это с помощью PAM-системы, выполнение основных функций которой укладывается в большинство векторов атак, построенных на превышении привилегий.

✅ Соблюдать принцип Zero Trust.

✅ Отдавать предпочтение зрелым продуктам ИБ с подтверждённым уровнем доверия и на сертифицированных ОС.

Что ни месяц в наступившем году, то новое сообщение НКЦКИ о компрометации информационной инфраструктуры крупнейших российских компаний, связанных с ИБ.

Перед нами новое веяние в плане развития атак на цепочки поставок, — считает руководитель отдела развития продуктов «АйТи Бастион» Алексей Ширикалов.

Цепочки поставок, безусловно, остаются трендом атак, но от него отделяется ветка по атакам на поставщиков ИБ решений.

Вот, что происходит: злоумышленник может получить доступ к инфраструктуре заказчика, который, как положено в регламентах, установил себе средства защиты; но через подрядчика этот доступ может оставаться замаскированным под легитимный, в том числе проходящим через те же средства ИБ, с помощью которых в «целевой компании» пытаются выстроить защиту.

Если злоумышленнику повезёт, то он ещё и получает доступ к внутренним данным о том, как работает средство ИБ в инфраструктуре жертвы, или же у атакующего появится простор на поиск уязвимостей.

Вывод напрашивается, и мы его озвучим: ко всем подрядчикам необходимо относиться как к потенциальной угрозе‼️

⚫️ Обязательно предъявляйте требования по ИБ исполнителю подряда кстати, мы уже ждём от регуляторов появления рекомендаций о необходимых средствах защиты информации, которые должны быть у подрядчика
🟠 Контролируйте доступы
⚫️ Контролируете ролевые модели
🟠 Убирайте избыточные доступы
⚫️ Отслеживайте выполняемые пользователем действия и выявляйте попытки нетипичных действий в рамках легитимных сессий (поведенческий анализ)
🟠 Персонализируйте УЗ для доступа — никаких root и т.д.
⚫️ Берегите учётки и пароли, особенно привилегированные

Что касается громкой мартовской компрометации, то надеемся, учётки важных ресурсов не ушли в подрядчиков, и волна не дошла до заказчиков. А сама пострадавшая компания, на чьём сервисном центре произошёл инцидент, сделала всё грамотно. Можно использовать в качестве методички на случай серьёзного происшествия.

✅ Сообщили в НКЦКИ и организовали совместную работу
✅ Прекратили сетевое взаимодействие с клиентскими системами
✅ Подключили расследовательские команды, чтобы минимизировать последствия
✅ Проинформировали заказчиков, чтобы «задраили люки» на время полного расследования

К слову, на случай подобных инцидентов может помочь наше решение Синоникс со своими ограничениями и контролем информационного обмена.

Остаётся добавить немного из практического опыта — 15-минутный инцидент с пребыванием злоумышленника в инфраструктуре может затянуться на долгие месяцы расследования. А это ощутимый удар по бизнес-процессам, которые — в идеальной картине мира — должны продолжаться в части доступа к заказчикам, уже только после полного расследования атаки и устранения всех «хвостов».