«Информзащита»: о внутренней безопасности не заботятся

Системный интегратор «Информзащита» опубликовал отчёт о внутреннем аудите кооперативных сетей в 2014 г. В нем учтены результаты 40 проектов, в процессе выполнения которых сотрудники «Информзащиты» проводили комплексную проверку безопасности корпоративных сетей клиентов – самых разных компаний из таких отраслей, как финансовая, телеком, транспорт и ТЭК.

Основные выявленные проблемы, по данным «Информзащиты», связаны с тем, что во внутрикорпоративных сетях для задач администрирования применяются незащищённые протоколы и слабые пароли. Часто администраторы используют незащищённый протокол telnet, а сетевое оборудование настроено небезопасно. В результате злоумышленники, проникнув на внутренний компьютер, могут перехватить пароль администратора и получить серьезные полномочия в системе.

Кроме того, установленные продукты защиты нередко настроены неправильно и действуют неэффективно. Так, в отчёте упоминаются системы обнаружения вторжений, в которых не настроено обновление сигнатур, что обуславливает некорректную работу этих систем и, в конечном счете, их бесполезность. Ещё одна типичная ошибка – отсутствие сегментации сети. При этом, скажем, отделение серверного сегмента от пользовательского позволяет усложнить атаки из корпоративной сети на серверные компоненты.

Таким образом, внутренняя безопасность корпоративных сетей оставляет желать лучшего, что, похоже, связано с формальным походом к её обеспечению. Консультант по ИБ компании «Микротест» Сергей Борисов говорит: «Аналитика «Информзащиты» представляется полезной. Информацию о наиболее распространённых уязвимостях и недостатках можно использовать при моделировании угроз и планировании мероприятий, обеспечивающих внутренний контроль над состоянием ИБ. Большое количество недостатков и уязвимостей, возникающих из-за неверных настроек, отсутствия настроек или обновлений, свидетельствует о том, что средства защиты информации приобретаются, но не эксплуатируются должным образом. Зачастую это связано с тем, что регуляторы в области ИБ требуют именно наличия средств защиты и сертификатов, но никто не проверяет, как они используются».

Исследователи отмечают, что внутренняя безопасность в проверенных компаниях – зачастую не на высоте, хотя внешняя защита организована неплохо. Например, Денис Хлапов, архитектор проектов аудита компании «Информзащита», отмечает: «Большей частью обнаруженных уязвимостей могут воспользоваться внутренние злоумышленники, тогда как внешний периметр защищен достаточно хорошо. При этом самые распространенные уязвимости являются критичными и могут принести существенный вред бизнесу. Без сомнения, компаниям нужно уделять больше внимания процессам управления доступом, изменениями и обновлениями. Кроме того, необходимо периодически проводить внутренние проверки безопасности, анализировать защищенность периметра и оценивать риски».

Отметим, что для решения перечисленных проблем практически не требуются дополнительные вложения. Функции шифрования удаленного управления, как правило, активизируются бесплатно, сегментация сети поддерживается большей частью корпоративного сетевого оборудования, а для правильной настройки уже купленного средства защиты требуется лишь квалифицированный администратор.

Это подтверждает и Сергей Борисов: «Для повышения реального уровня ИБ необходимо не только приобретать средства защиты, но и внедрять соответствующие процессы. Обеспечивая защиту от несанкционированного доступа, нужно наладить управление доступом к ИС и учётными записями. Если устанавливается решение SSL-VPN, то требуется организовать управление удаленным доступом. А если построена VPN-сеть между несколькими сегментами кооперативной сети и партнёрами, то стоит структурировать взаимодействие с этими филиалами, партнерами и другими контрагентами». Итак, повысить уровень защищенности корпоративной сети можно без дополнительных расходов, ограничившись лишь организационными мерами и обучением пользователей и администраторов в области ИБ.