[Varnost] Najpogostejše ranljivosti oz. nedoslednosti pri slovenskih podjetjih

Want create site? With Free visual composer you can do it easy.

Leto 2017 in začetek leta 2018 je zaznamovalo pestro dogajanje na področju varnosti IT sistemov. V tem obdobju smo bili priča raznim dogodkom, ki so pretresli IT svet.

Začetek leta 2017 je zaznamovalo dogajanje v povezavi s hekersko skupino Shadow Brokers, ki je svetu razkrila orodja in do tedaj neznane ranljivosti, ki naj bi jih pri svojem delu uporabljala NSA agencija. Znan WannaCry napad v maju je bil neposredna posledica teh dogajanj.
Proti koncu leta 2017 se je nato pozornost preusmerila na odkrite ranljivosti na Intel in ostalih procesorjih. Tu sicer (še) nismo bili priča širokopoteznim napadom, ki bi omenjene ranljivosti izkoriščali. Vsekakor pa dogodki predstavljajo nekakšno prelomnico v dojemanju varnosti informacijskih sistemov. V vmesnem obdobju so se dogajali bolj ali manj znani napadi na različne sisteme. Hkrati pa je bilo veliko pozornosti (vsaj v Evropi) usmerjene v novo uredbo na področju varovanja osebnih podatkov – GDPR, ki z majem 2018 v naš domač prostor vnaša velike spremembe.

V Sloveniji sicer nismo bili priča javno odmevnim napadom, a leto 2017/2018 lahko tudi pri nas ocenimo kot prelomno. Podjetja so se pričela bistveno bolj zavedati pomena varnosti informacijskih sistemov. Pokazatelj tega je povečano zanimanje podjetij za izvajanje različnih varnostnih pregledov. V tem obdobju smo v podjetju Smart Com izvedli številne varnostne preglede različnih okolij, sistemov in aplikacij. Ti nam po eni strani kažejo, da med slovenskimi podjetij varnost informacijskih sistemov postaja vse bolj aktualna, kot tudi pomembna tema. Hkrati pa lahko na osnovi lastnih izkušenj natančno opredelimo najbolj pogoste ranljivosti oz. težave, ki jih srečujemo pri podjetjih, ter iz tega lahko naredimo določene zaključke.


🇸🇮 Najpogostejše ranljivosti oz. nedoslednosti pri slovenskih podjetjih


Ranljivosti, ki se jih zavedamo

Pri zagotavljanju varnosti veljajo določeni osnovni principi. Lahko bi rekli, da gre za principe, ki jih pozna vsak skrbnik informacijskega sistema. Ob neupoštevanju osnovnih principov je informacijska varnost na bistveno nižjem nivoju, saj napadalec za zlorabo ne potrebuje visoko tehnoloških znanj in orodij, ampak največkrat zadošča že pravi motiv.

Tovrstno situacijo lahko primerjamo z varovanjem stanovanja. Vemo, da stanovanja ne puščamo odklenjenega in ključa ne puščamo pod predpražnikom. Zgolj upanje, da nismo zanimivi za napadalce oz., da bo napadalec raje izbral soseda, ni dovolj in je neodgovorno. Tudi izgovor, ki opravičuje teoretično možnost, da lahko izgubimo ključ in nam bo rezervni ključ pod predpražnikom omogočil vstop v stanovanje, ni dovolj dober za takšno početje.

Čeprav si želimo, da so tovrstne situacije v slovenskih podjetjih prej izjema kot pravilo, na žalost praksa pokaže nasprotno. Marsikatero podjetje še vedno »ne zaklepa vhodnih vrat« oz. »pušča ključ od vhodnih vrat pod predpražnikom«, če se izrazimo s prej omenjeno prispodobo.

Tipični oz. najbolj pogosti primeri tovrstne prakse so:

  • Webmail, VPN in podobni dostopi so možni od kjerkoli, uporabnik/napadalec potrebuje zgolj uporabniško geslo.
  • Skrbniška prijavna okna v sisteme so dostopna tudi iz Internet omrežja.
  • Lokalno omrežje ne vsebuje mehanizmov več nivojske avtentikacije.
  • V lokalnem omrežju so glavni centralni strežniki dostopni brez kakršnihkoli omejitev.
  • Na javno dostopnih ali/in pomembnih sistemih niso nameščeni popravki, čeprav so prosto dostopni in so opozorilo proizvajalci že večkrat javno objavili.

Razlogov za takšno početje je več, včasih je to neznanje, včasih nezavedanje, včasih pa enostavno podjetje »nima časa« urediti zadev. Varnostni pregled je v takšnih primerih zelo koristen, saj jasno pokaže na nedoslednosti ter demonstrira nevarnost v takšnih situacijah. Ker je praksa pokazala, da je ne glede na prejšnjo zavedanje oz. nezavedanje o obstoju takšnih situacij, ravno varnostni pregled tista prelomnica, kjer se te zadeve lahko (končno) uredijo, trdimo, da so podjetja, ki so varnostnih pregled že izvedla, bistveno bolj varna kot pa podjetja, ki tega še niso storila.

Ranljivosti, ki jih v resnici ne poznamo

Če smo v prejšnji skupini opozorili na prvi pogled zelo očitne ranljivosti, pa v drugo skupino uvršamo ponavljajoče se ranljivosti, ki so bistveno bolj prikrite. To so kompleksnejše ranljivosti, pri katerih napadalec potrebuje več dela in znanja, da jih najprej sploh identificira, ter nato zares izrabi. Večina teh ranljivosti ni povezana z omrežjem oz. sistemi, ampak so povezane z aplikacijami. Ker tudi v Sloveniji zaznavamo očiten trend prehoda aplikacij na spletne tehnologije, lahko govorimo o najbolj pogostih ranljivostih na spletnih aplikacijah.

Trdimo lahko, da so omenjene ranljivosti skorajda vedno prisotne in se jih skrbniki pred izvedbo varnostnega pregleda niso zavedali.

Najbolj pogoste zaznane ranljivosti so:

Tovrstne ranljivosti smo pogosto identificirali tudi na klasičnih spletnih straneh, kar pomeni, da ranljivosti obstajajo v praktično vseh okoljih in ne zgolj v posebnih okoljih s posebnimi aplikacijami, kot si to skrbniki mnogokrat predstavljajo. Poleg identifikacije ranljivosti smo izvedli tudi dejansko demonstracijo zlorabe in praksa je jasno pokazala, da so tovrstne ranljivosti v marsikaterem okolju lahko zelo hude.

Varnostni pregled je v teh primerih praktično nujno potreben, saj tovrstne ranljivosti skrbniki pogosto spregledajo in so skrite vse dokler ne pride do dejanske zlorabe.

Ranljivosti, ki se jih ne zavedamo

Pri prvih dveh skupinah smo govorili o bolj tehničnih ranljivostih. Prvih se vsaj teoretično zavedamo, a jih kljub temu iz takšnega ali drugačnega razloga dopuščamo, drugih pa ne poznamo in torej ne vemo, da jih imamo, oziroma drugače rečeno da obstajajo.

V tretjo skupino najbolj pogostih ranljivosti uvršamo »napake« v organizaciji, ki neposredno ali posredno ustvarjajo okolje, idealno za zlorabo.

Najbolj pogoste prakse so:

  • V podjetju niso vpeljani procesi za spremljanje dogodkov in/ali nihče ni zadolžen za spremljanje dogodkov.
    Zavedati se moramo, da je skoraj nemogoče vnaprej odpraviti vse varnostne ranljivosti, vendar enako velja, da je za napadalca skoraj nemogoče, da napad izvede, ne da bi se izpostavil. Teoretično bi torej lahko vsak napad vnaprej opazili in preprečili. Včasih napadalca izdajo banalne zadeve, kot je prijava na VPN vstopno točko iz tujine ali pa prenos ogromne količine podatkov iz spletne strani. Za zaznavo takšnih dogodkov tehnično ne potrebujemo kompleksnih sistemov, a jih podjetja kljub temu ne zaznajo pravočasno, ker nimajo postavljenih pravil o tem, kdo kaj spremlja.
  • V podjetju niso definirani procesi odziva na zaznane »sumljive« dogodke.
    Tipičen primer je ‘social-engineering’ napad. Ta je pogosto sestavni del varnostnih testov. Neredko se nam zgodi, da preko takšnih napadov najprej uspešno pridobimo nekaj gesel, šele nato eden izmed uporabnikov le prijavi sumljive aktivnosti v IT oddelek. Njegova reakcija sicer prepreči nadaljnje napade, nihče pa ne popravi »škode za nazaj«. Novih gesel ne moremo pridobiti, vendar pa nihče ne zamenja prvotno pridobljenih gesel.
  • Skrbniki požarnih pregrad (in podobnih sistemov), ki so največkrat odgovorni za zagotavljanje varnosti, praviloma dobro poznajo omrežje, vendar slabo poznajo vsebino in naravo aplikacij v podjetju.
    Rezultat tega so neizkoriščene funkcionalnosti na požarnih pregradah, saj se ne ve, kako bi njihov vklop vplival na delovanje aplikacije. Prevečkrat naletimo tudi na situacijo, kjer je dostop omogočen zgolj zato, ker je v preteklosti nekdo zahteval, da se dostop dodeli, nihče pa točno ne razume ali ve, zakaj je temu tako.
  • Razmejitev odgovornosti glede zagotavljanja varnosti med podjetjem in zunanjimi izvajalci ni dovolj natančno dorečena.
    Dejstvo, da je podjetje v določenem delu aktivnosti »naslonjeno« na zunanje izvajalce, ni sporno in je celo dobrodošlo. A pri varnosti pogosto ugotavljamo nedoslednosti. Tipičen primer so varnostni sistemi. Postavi jih zunanji izvajalec, ki sistem morebiti tudi še naprej vzdržuje. Podjetje si pogosto predstavlja, da »vzdrževanje« vključuje tudi proaktivno spremljanje in razmišljanje o varnosti, kar pa ni nujno res. Če v takšnih primerih predstavnike podjetja vprašamo o varnosti, po navadi slišimo odgovor »Za ta sistem skrbi naš zunanji izvajalec in oni seveda na tem sistemu spremljajo dogodke in zagotavljajo varnost«. Ko pa to isto vprašanje postavimo zunanjemu izvajalcu, pa dobimo odgovor »Mi smo na začetku postavili sistem točno tako, kot si je želel naročnik. Sedaj pa na sistemu izvajamo zgolj tiste spremembe, ki jih naročnik eksplicitno zahteva.«.

Varnostni pregledi niso usmerjeni zgolj v identifikacijo posameznih tehničnih ranljivosti, ampak (ne)posredno naslavljajo tudi pregled obstoja tovrstnih situacij.

To so torej najbolj pogoste ranljivosti, ki jih v povezavi z zagotavljanjem varnosti srečamo v slovenskih podjetjih. Izvedba varnostnih pregledov je pomemben del zagotavljanja varnosti informacijskih sistemov, v kolikor želimo v bodoče zmanjšati pojavnost omenjenih ranljivosti.

Četudi se velikokrat na prvi pogled zdi, da je varnostni pregled nepotreben, praksa jasno pokaže, da je ravno izvedba varnostnega pregleda tista prelomna točka, kjer se stvari (tiste, ki se jih zavedamo, kot tudi tiste, ki jih spoznamo šele pri varnostnem pregledu) pričnejo urejati.

Če želite preveriti, kakšno je stanje v vašem IT sistemu, me kontaktirajte na spodnje kontaktne podatke in z veseljem se oglasim pri vas.

 

 

Author photo

 

Več vsebin s področja varnosti

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]