- безопасность
Сканирование IP-адресов входит в набор сервисов кибербезопасности, встроенных в защищенное облако NGcloud. Сегодня поговорим о том, что дает такое регулярное сканирование и как правильно работать с его результатами, чтобы эффективно противостоять угрозам.
Чем опасны уязвимости сервисов, опубликованных в Интернет?
Открытый порт с устаревшим ПО или уязвимостью – это потенциальная лазейка в вашу инфраструктуру. Через нее злоумышленник может проникнуть в корпоративную сеть, приложение или сервис, где установит несанкционированный удаленный доступ. А дальше у злоумышленника вариантов много: запустить зловредный код, получить доступ к конфиденциальной информации, повредить или удалить безвозвратно данные и просто беспрепятственно перемещаться внутри корпоративной сети.
Spring4Shell (CVE-2022-22965)
Критическая уязвимость обнаружена в фреймворке Spring для Java (9,8 из 10).
Эта уязвимость типа RCE (Remote Code Execution) позволяла злоумышленникам удаленно выполнять вредоносный код.
Log4Shell (CVE-2021-44228)
Критическая уязвимость в библиотеке Apache Log4j (10 из 10).
Относится к классу Remote Code Execution, то есть злоумышленники могли удаленно выполнить код и захватить контроль над всей системой. Эксплуатация уязвимости была доступна даже не очень опытным хакерам: достаточно заставить приложение записать в лог одну строку, чтобы выполнить внедрение своего кода.
Apache Struts 2 (CVE-2017-5638)
Уровень уязвимости 10 из 10.
Эта уязвимость в популярном фреймворке для разработки веб-приложений позволяла атакующим выполнять произвольный код на сервере через специально созданные HTTP-заголовки Content-Type, Content-Disposition или Content-Length.
Какую пользу приносит регулярное сканирование ИТ-инфраструктуры?
Сканирование позволяет своевременно узнавать о:
- Новых сервисах и открытых портах в сети. Это помогает отследить случаи, когда порт был открыт по ошибке, несанкционированно или когда злоумышленник запустил вредоносный сервис в вашей сети.
- Уязвимостях в службах, портах. Например, у какого-то сервиса может быть использована уязвимая версия SSH или веб-сервера.
- Патчах и способах устранить уязвимости. Большинство сканеров вместе с найденными уязвимостями содержат подробную информацию о версиях ПО, на которые нужно обновиться или патчах, требующих установки, чтобы закрыть “дыру”.
Как работает сканирование в облаке NGcloud?
Сканер располагает только сведениями об IP-адресах, которые были предоставлены клиенту в облаке NGcloud и опубликованы в интернет. Такой режим называется “черный ящик” (black box), то есть сканер ничего «не знает» о содержании исследуемого сервиса и не имеет доступа внутрь.
В режиме white box сканеру предоставляются учетные данные от сервисов, приложений, которые он проверяет. С помощью такого сканирования можно выявить непропатченные версии операционных систем и приложений.
Само сканирование состоит из трех этапов:
1. Разведка (discovery). Выясняем, на каких IP-адресах открыты порты и какие сервисы на них работают. Таким образом, происходит своего рода “инвентаризация” и создается карта сети.
2. Поиск уязвимостей. На этом шаге формируется список портов и IP, на которых были обнаружены устаревшее ПО, уязвимости. При этом мы используем два сканера, чтобы база с уязвимостями была максимально полной.
3. Уведомление о найденных новых сервисах и уязвимостях. В отличие от других сервисов сканирования, уведомления приходят на почту клиента NGcloud по мере появления новой информации, а не по жесткому расписанию. Это позволяет не пропустить новые уязвимости, которые легко просмотреть в многостраничных отчетах.
Сканирование происходит еженедельно в вечернее время, чтобы минимизировать нагрузку на клиентские сервисы.
Какую информацию дает отчет сканера уязвимостей?
В отчете и почтовых уведомлениях вы увидите:
- Какие IP и порты доступны из Интернет. Соответственно, в этом списке можно отловить непрошенных гостей или порты, открытые по ошибке.
- Какие протоколы используются на открытых портах.
- Описание или ссылка на описание уязвимости и ее уровень критичности. Критичность оценивается по десятибалльной шкале. Все, что выше 7, относится к HIGH и Critical, а значит требует незамедлительных действий.
- Перечень действий, которые нужно предпринять вместе со ссылками на обновления и патчи.
Как использовать отчет о потенциальных уязвимостях?
1. Проверьте, нет ли в списке лишних открытых портов. Обычно для сайта открывают 80 (http) и 443 (https) порты. Остальные по возможности нужно закрыть, а для известных источников ограничить доступ. Для подключений из удаленных сетей лучше использовать VPN.
2. Для найденных уязвимостей установите обновления или патчи.
3. Если обновиться или пропатчиться нет возможности, например, из-за несовместимости новых версий ПО с другими ИТ-сервисами, то нужно использовать компенсирующие меры. Для этого уязвимые сервисы размещаются за средствами защиты. Для веб-приложений - это Web Application Firewall (WAF), для сетевых служб - Next Generation Firewall (NGFW).
Сканирование может быть весьма полезным для улучшения уровня информационной безопасности, но оно должно быть частью общей стратегии, а не единственным средством защиты. Необходимо дополнять его другими мерами, такими как фильтрация трафика, парольная политика, обучение персонала, чтобы распознавать фишинговые ссылки и сайты), чтобы обеспечить комплексную информационную безопасность.