Скованные одной цепью. От отдельных уязвимостей к блокированию маршрутов атак
17/10/2024
В мире кибербезопасности есть ряд основополагающих принципов, неменяющихся годами и десятилетиями, а есть ряд достаточно спорных правил, которые превратились в нечто монументальное, незыблемое, что никто не хочет свергнуть с пьедестала. Например, классическое уравнение риска ИБ, которое представляет собой произведение уязвимости, угрозы и ущерба. Даже если в принципе не брать некорректность этой формулы (все-таки риск — это не про изначально плохое, это про возможности, которые могут дать как положительный, так и отрицательный эффект), то многие специалисты фокусируются на первом показателе, тратя на него все силы.
При этом многие компании продолжают делать одну и ту же ошибку: фокусируются на отдельных уязвимостях, упуская из виду способы их эксплуатации. А ведь здравый смысл подсказывает нам, что не все из них опасны, а если и опасны, то не в конкретно вашей организации. Эффективность защиты часто зависит не от того, как много уязвимостей мы можем обнаружить и устранить, а от того, как хорошо мы понимаем пути, по которым атакующие могут добраться до ключевых активов организации, то есть как может быть реализована угроза и какой ущерб может быть нам нанесен (вот и оставшиеся две переменные уравнения риска проявились). Именно поэтому важно отойти от анализа атомарных событий, которые нам дают отдельные средства защиты и сосредоточиться на управлении цепочками атак.
Вместо того чтобы рассматривать уязвимости как изолированные события, стоит анализировать их как элементы более широкого пути атаки, по которому идет злоумышленник, чтобы достигнуть своей цели. Вы обращали внимание на одну странность — в Даркнете, на форумах по продаже доступов в различные компании, их стоимость измеряется сотнями или, в крайнем случае, тысячами долларов. И это при том, что сами компании, в периметре которых нашли уязвимость и продают ее, ворочают десятками и сотнями миллиардов долларов. Почему такой разрыв? А все потому, что использование всего одной уязвимости не дает злоумышленнику почти никакого преимущества и не приводит к реализации ущерба для уязвимой компании. Нужно найти несколько уязвимостей на всем маршруте движения от периметра до конечной цели (АБС, АСУ ТП, биллинг, сервер бухгалтерии, Active Directory, сервер сборки ПО и т. п.), простроить этот маршрут по нужным узлам, не зайти в тупик и успеть реализовать недоброе, пока тебя не заметила служба ИБ. Поняв это, мы сможем лучше разобраться, какие уязвимости могут действительно привести к недопустимым для организации событиям, влекущим катастрофические последствия.
Исследования показывают, что в среднем у компании существует около 11 000 уязвимостей, которые могут быть использованы злоумышленниками. У крупных предприятий этот показатель может превышать 220 000. Однако далеко не каждая из этих уязвимостей представляет реальную угрозу. На самом деле, около 75% всех обнаруженных уязвимостей, в случае их эксплуатации, ведут в так называемые «тупики», то есть они не представляют реальной опасности для критических активов компании.
Ключевая проблема заключается в том, что команды кибербезопасности тратят слишком много времени на обработку этих незначительных уязвимостей. И это негативно влияет на их результативность. Вместо того чтобы сосредоточиться на действительно важных угрозах, они тратят время на задачи, которые не приносят ощутимого снижения риска. Даже попытка применить один из пары десятков стандартов и подходов по приоритезации уязвимостей не дает эффекта — они либо слишком сложны для ежедневной работы, либо заставляют нас быть привязанными к продуктам конкретного вендора, который придумал очередное «ноу-хау» и только благодаря его секретному соусу все уязвимости будут побеждены. Но те, кто в ИБ работает давно, понимает, что это не так, серебряной пули не существует.
Как же решить эту проблему? Во-первых, важно понимать, какие активы в компании являются критическими с точки зрения бизнеса. Это могут быть данные клиентов, финансовые системы или ключевые производственные процессы. Важно классифицировать эти активы и определить, какие из них имеют наибольшее значение для достижение бизнес-целей. Этот процесс позволяет лучше понять, какие уязвимости представляют наибольшую угрозу, и сфокусировать усилия именно на них. Да, выстраивание процесса управления активами само по себе не является простой задачей, но без ее решения (даже в первом приближении) мы будем походи на героя русских сказок, которого регулярно посылают «туда, не зная куда, принести то, не зная что». Но и тут есть лайфхак — не надо пытаться идентифицировать все активы и одинаково управлять ими всеми. Достаточно обратиться к бизнесу и спросить, что важно именно ему. Затем, с помощью владельцев бизнес-процессов и систем, а также при непосредственном участии ИТ и АСУ ТП служб, определяются ключевые системы, которые и будут интересны хакерам, а также рассматриваться как первоочередные объекты защиты, а также мониторинга.
Во-вторых, необходимо начать работать с цепочками атак. Это означает, что вместо того, чтобы просто фиксировать наличие уязвимости, нужно оценивать, как эта уязвимость может быть использована злоумышленниками для достижения их целей. Например, простая уязвимость в системе не всегда является проблемой, если она не связана с критически важным активом. Но если она может быть использована для доступа к важным данным, то ее нужно устранять в первую очередь.
Исследования показали, что только 2% всех уязвимостей находятся на «узловых» точках, которые могут привести к компрометации критических для бизнеса активов. Именно эти уязвимости и должны стать фокусом для команд безопасности. Получается, что из 11000 уязвимостей только около 220 действительно требуют немедленного внимания. А компании могут справиться только с 10% из них, что означает, что в реальности может быть исправлено лишь 22 уязвимости. Это вроде небольшая часть от общего числа, но именно они могут оказать наиболее значимое влияние на безопасность компании, так как именно они интересны хакерам, стремящимся добраться до целевых систем организации. Помочь в ответе на вопрос «А какие 10% надо устранить в первую очередь» могут не только качественные сервисы Threat Intelligence, данные по трендовым уязвимостям, используемым именно сейчас в «дикой природе», но и специалисты по проведению тестов на проникновение, которые сами используют понятие «цепочки» и знают, какие уязвимости чаще всего используются в пентестах.
Важно отметить, что фиксация на ненужных уязвимостях приводит к тому, что команды не достигают своей цели — повышения результативности. Вместо этого они теряют время на «тупиковые» задачи, которые не влияют на снижение риска и недопущение катастрофических для бизнеса последствий. В результате эффективность работы падает, а ключевые угрозы остаются без внимания.
Анализ путей атак как раз и помогает решить эту проблему и минимизировать количество ненужных действий, сосредоточившись на главном. Он помогает понять, какие уязвимости действительно могут быть использованы злоумышленниками для достижения их целей. А это, в свою очередь, позволяет значительно сократить время и усилия, затрачиваемые на устранение второстепенных угроз.
По данным аналитики в среднем в организации существует 15 000 путей атак (100 000 у крупных предприятий), но 74% из них ведут «в тупик», то есть малоинтересны и для хакеров и, соответственно, для специалистов по ИБ. Эта цифра нам вновь говорит о том, что не надо защищать абсолютно все и инвестировать туда, где мы не увидим отдачи. Критических же путей, которые ведут сразу к целевым системам и того меньше — доли процентов, а значит, сфокусировавшись на них в первую очередь, мы получим максимум результата (рис).
Таким образом, эффективная кибербезопасность — это не просто обнаружение всех уязвимостей и устранение большей их части. Это умение правильно расставлять приоритеты и работать с теми уязвимостями, которые могут действительно привести к нанесению ущерба за счет анализа цепочек атак.
Но… если у нас есть список ключевых и целевых систем, приоритизированный список уязвимостей, а также понимание цепочек их использования, то может быть мы способны автоматизировать задачу и обнаружения передвижения хакера по его маршруту? А раз мы можем обнаружить это движение, то нам не составляет большого труда и заблокировать хакера, не дав ему достигнуть целевых систем? А может быть пойти еще дальше и, зная цепочку атаки, разорвать ее путем включения тех или иных защитных мер — многофакторной аутентификации, сегментации сети, установки виртуальных или реальных патчей, добавления новых правил контроля доступа на NGFW?
И тут мы вплотную подходим к тому, что можно было бы назвать автопилотом ИБ, когда средства защиты, а они уже появляются на мировом рынке, начинают самостоятельно, без участия и так все время нехватающих кадров, автоматически защищать нас от 80-90% всех возможных угроз, что непросто хорошо, а в разы лучше, чем обеспечивается в современных организациях.
Подводя итог, стоит сказать, что основная задача команд безопасности — это не просто закрывать все уязвимости, а делать это результативно. Для этого нужно правильно классифицировать активы, определять цепочки атак и выделять наиболее важные из них, после чего либо вручную, либо в перспективе в автоматическом режиме эффективно управлять ими, предотвращая нанесение ущерба для организации. В конечном счете, это поможет командам добиться большей эффективности и снизить вероятность реализации недопустимых событий, которые могут угрожать бизнесу.