Интересную можно аналогию провести с одним мультипликационным сюжетом. Каждый видел в нем свое. Кто-то просто смотрел интересный мультик. Кто-то восхищался качеством материала и спецэффектами. А я увидел побочный результат аудита безопасности, проведенного без соблюдения условий невмешательства в работу систем. Одна проэксплуатированная уязвимость - и система разрушена.
По сюжету, руководство ставит задачу повысить уровень безопасности филиала в связи с наличием в нем потенциально опасного элемента.
Исходные данные, зафиксированные в опросном листе аудитором:
- Грамотно сконфигурированный пограничный firewall
- Аутентификация "четыре глаза" при попытке доступа к внутренним ресурсам
- Единая точка стыка с внешним миром
- Бдительный, квалифицированный и уверенный в своих силах SOC
- Достаточное количество персонала в обеспечивающих информационную безопасность подразделениях
- Сегментация по уровням безопасности
- Аутентификация и авторизация переходов между сегментами
- Повышенный контроль потенциально опасного сегмента
- Выполнение lockdown потенциально опасного элемента
Но нет. Отсутствие проверки подлинности ключа и аутентификации системы контроля целостности дает возможность неавторизованного отключения функционала lockdown с помощью пера. Уязвимость выполнения произвольного кода замка позволила использовать произвольный предмет, не проверяемый на подлинность, для получения
несанкционированного доступа к механизму. Механизм позволяет, в зависимости от
последовательности, ослаблять либо закреплять болты, фиксирующие
панцирь. Освобожденный от контроля и фиксации вредонос, несмотря на грамотные и своевременные действия персонала SOC по ликвидации, использует меры защиты в свою пользу, отключая копьем цепь фиксации в системе. Следующие тяжелые арбалетные болты за счет изменения траектории используются как метод обхода контролируемого перехода между сегментами. К механизму действия освобожденного вредоноса, скорости его работы и семантике поведения оказались не готовы ни используемые средства защиты информации, ни персонал SOC. В итоге система оказалась полностью разрушенной.
Что интересно, в мультике все выполнялось при условии физического доступа к системе (правда, вредонос работал под девизом "f@ck the gravity"), а ведь при проникновении Интернета вещей без соответствующих мер безопасности злоумышленник может, не выходя из дома, творить подобные беззакония.
Краткие и очевидные выводы по результатам просмотра мультика глазами специалиста по информационной безопасности:
- Проводите аудит безопасности и тестирование на проникновение без потенциального влияния на работу системы
- Уничтожайте вредоносы сразу
- Если руководство предписывает увеличить бюджет на ИБ и штат в 2 раза - соглашайтесь, не задумываясь.
Кто не догадался, что за сюжет - для ознакомления с красотой природы Сибири воспользуйтесь ссылкой:
Комментариев нет:
Отправить комментарий