Киберпреступники могут использовать заброшенное сетевое оборудование для проведения тайных атак на организации — об этом предупредили эксперты. Забытая или заброшенная инфраструктура может становиться изначальной «точкой входа» для хакеров в различные компании более чем в 50% случаев. Подробности о том, как заброшенное сетевое оборудование становится оружием киберпреступников, читайте в материале «Известий».
Скрытая угроза
Забытая или заброшенная инфраструктура становилась изначальной «точкой входа» в различные компании для киберпреступников в 55% реагирований, проведенных компанией F.A.C.C.T. в 2023 году, — об этом «Известиям» рассказал технический руководитель департамента управления поверхностью атаки (ASM) компании Николай Степанов.
— Забытое сетевое оборудование — общая проблема для всего мира, которая часто встречается как в России, так и в других странах и стоит на втором месте (после фишинга) в качестве способа проникновений злоумышленников в сети компаний, — говорит специалист.
По словам Степанова, первое, с чего начинается любая кибератака, — это разведка: злоумышленники хотят получить максимальную выгоду при минимальных вложениях сил. Они хорошо знают: если атаковать основную страницу или основные домены/IP, то велик шанс наткнуться на обновленное программное обеспечение (ПО) и мониторинг ресурсов со стороны специалистов по информационной безопасности компании.
Именно поэтому хакеры первым делом в ходе разведки ищут заброшенное сетевое оборудование — оно, скорее всего, устарело и не мониторится, но при этом имеет доступ в сеть компании. Получив доступ к такому устройству, злоумышленники смогут проанализировать его конфигурацию и понять, какие еще гаджеты используются в сети и какие доступны протоколы передачи трафика, а затем планировать дальнейшие атаки, дополняет эксперт по сетевым угрозам и веб-разработчик компании «Код безопасности» Константин Горбунов.
Риски проникновения
Проблема взлома через заброшенное оборудование возникает потому, что периметру компании зачастую не уделяется достаточно внимания со стороны ее специалистов по ИБ и сетевых администраторов, говорит Николай Степанов. В итоге периметр обрастает большим количеством «мертвых» активов, которые могут стать серьезной проблемой в самый неподходящий момент.
— Различные инструменты, которые требуют внести периметр для сканирования, дают ложное чувство безопасности, — рассказывает собеседник «Известий». — Компания будет расти, и, как показывает практика, через пару месяцев об обновлении этих списков просто забывают. В итоге система показывает, что всё хорошо, а администраторы спокойны — но лишь до инцидента.
Эксперт дополняет, что в подобных ситуациях сложно найти виноватых. Часто оказывается, что сегмент, ставший «точкой входа» для хакеров, был «поднят» несколько лет назад сотрудником, который уже как год не работает в компании. «Поднял» он эту страницу по какой-то срочной задаче, а после забыл об этом. В итоге — новые люди ничего не знают, а старые уже не работают. Между тем проникновение киберпреступников в инфраструктуру компании несет в себе множество рисков.
Как говорит руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин, в плане угроз всё зависит от того, какие данные будут получены злоумышленниками. Если речь лишь о конфигурационных файлах, то хакеры получат представление о внутреннем устройстве сети компании.
Кроме того, злоумышленник может закрепиться в сети и проводить операции в собственных интересах, говорит руководитель отдела сетевых технологий Angara Security Денис Бандалетов. По словам эксперта, первое, что не составит никакого труда в таком случае, — построить исчерпывающую карту сети цели на основании МАС- и ARP-таблиц с сетевого оборудования. А полная карта — это ключ к успеху.
Цифровая халатность
На заброшенном оборудовании также могут храниться как пароли, так и конфиденциальная информация — в этом случае последствия могут быть самыми печальными.
— Подобный взлом опасен утечкой данных, кражей интеллектуальной собственности и нарушением работоспособности бизнес-процессов, — говорит в беседе с «Известиями» руководитель направления центра компетенций по информационной безопасности «Т1 Интеграция» Валерий Степанов. — Это может привести к компрометации сети, атакам на серверы и другим киберугрозам.
Взлом через заброшенное оборудование также может привести к шифрованию данных компании с последующим запросом на выкуп, а также к публикации данных пользователей в дарквебе, подчеркивает Николай Степанов. Между тем ответственность за подобные инциденты, с одной стороны, лежит на злоумышленнике, который похитил персональные данные. С другой — к ответственности может быть привлечен и сам владелец оборудования, который должным образом не обеспечил его безопасность.
— За действия, которые могли бы предотвратить подобные атаки (регулярная инвентаризация и своевременное обновление программного обеспечения), обычно отвечают IT-администраторы организаций, — отмечают в пресс-службе ГК «Солар».
В отдельных случаях ответственность за допущенный взлом может быть весьма серьезной: в частности, по словам Константина Горбунова, могут последовать финансовые штрафы за нарушение законодательства о защите данных, а также иски о возмещении ущерба от пострадавших клиентов или партнеров.
Механизмы защиты
Для того чтобы защититься от взломов при помощи заброшенного оборудования, опрошенные «Известиями» эксперты советуют соблюдать ряд правил безопасности. В частности, по словам Константина Горбунова, компаниям необходимо регулярно проводить аудит используемого, а также выведенного из эксплуатации оборудования и обеспечить полное отключение или утилизацию неиспользуемых устройств.
— На активных устройствах необходимо поддерживать актуальность установленного ПО, — говорит эксперт. — А еще использование систем мониторинга сетевого трафика позволит быстро обнаруживать и реагировать на подозрительную активность.
Николай Степанов дополняет, что эффективный способ защиты от забытого или заброшенного оборудования — это решения для управления поверхностью атаки. Задача таких программ — мониторить периметр компаний, находить забытые активы и показывать проблемы, связанные с ними.
Как объясняет руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies Алексей Леднев, сегодня для организации инвентаризации оборудования существуют различные решения информационной безопасности. Продукты класса Attack surface management (ASM) помогут выстроить мониторинг цифровых активов и устройств организации, а продукты класса Vulnerability Management проведут сканирование инфраструктуры и обнаружат системы с незакрытыми критическими уязвимостями.
Кроме того, по словам Сергея Полунина, в компании должна существовать грамотная процедура вывода оборудования из эксплуатации. Она должна среди прочего предусматривать гарантированное удаление всех данных. В идеале информации на таком устройстве должно остаться ровно столько, сколько ее было, когда устройство достали из коробки после покупки. В свою очередь, Денис Бандалетов призывает поддерживать жесткую сегментацию, а лучше — микросегментацию сети, чтобы серьезно усложнить задачу злоумышленнику.
— Важно обеспечивать физическую безопасность устройств, включая контроль доступа к ним, а также обучать сотрудников основам кибербезопасности, чтобы они распознавали риски и понимали важность защиты информации, — заключает Валерий Степанов.