Выбрать язык


Выбрать язык | Show only


Русский | English


суббота, 18 февраля 2017 г.

Неудачный аудит информационной безопасности

Интересную можно аналогию провести с одним мультипликационным сюжетом. Каждый видел в нем свое. Кто-то просто смотрел интересный мультик. Кто-то восхищался качеством материала и спецэффектами. А я увидел побочный результат аудита безопасности, проведенного без соблюдения условий невмешательства в работу систем. Одна проэксплуатированная уязвимость - и система разрушена.
По сюжету, руководство ставит задачу повысить уровень безопасности филиала в связи с наличием в нем потенциально опасного элемента. 
Исходные данные, зафиксированные в опросном листе аудитором:
  • Грамотно сконфигурированный пограничный firewall
  • Аутентификация "четыре глаза" при попытке доступа к внутренним ресурсам
  • Единая точка стыка с внешним миром
  • Бдительный, квалифицированный и уверенный в своих силах SOC
  • Достаточное количество персонала в обеспечивающих информационную безопасность подразделениях
  • Сегментация по уровням безопасности
  • Аутентификация и авторизация переходов между сегментами
  • Повышенный контроль потенциально опасного сегмента
  • Выполнение lockdown потенциально опасного элемента
Казалось бы, при таких условиях аудит безопасности не повредит, а подтверждающее уровень защиты тестирование на проникновение обречено на крах. Руководитель филиала не видит смысла удваивать количество персонала, меры и качество систем безопасности.

Но нет. Отсутствие проверки подлинности ключа и аутентификации системы контроля целостности дает возможность неавторизованного отключения функционала lockdown с помощью пера. Уязвимость выполнения произвольного кода замка позволила использовать произвольный предмет, не проверяемый на подлинность, для получения несанкционированного доступа к механизму. Механизм позволяет, в зависимости от последовательности, ослаблять либо закреплять болты, фиксирующие панцирь. Освобожденный от контроля и фиксации вредонос, несмотря на грамотные и своевременные действия персонала SOC по ликвидации, использует меры защиты в свою пользу, отключая копьем цепь фиксации в системе. Следующие тяжелые арбалетные болты за счет изменения траектории используются как метод обхода контролируемого перехода между сегментами. К механизму действия освобожденного вредоноса, скорости его работы и семантике поведения оказались не готовы ни используемые средства защиты информации, ни персонал SOC. В итоге система оказалась полностью разрушенной. 

Что интересно, в мультике все выполнялось при условии физического доступа к системе (правда, вредонос работал под девизом "f@ck the gravity"), а ведь при проникновении Интернета вещей без соответствующих мер безопасности злоумышленник может, не выходя из дома, творить подобные беззакония.

Краткие и очевидные выводы по результатам просмотра мультика глазами специалиста по информационной безопасности:
  • Проводите аудит безопасности и тестирование на проникновение без потенциального влияния на работу системы
  • Уничтожайте вредоносы сразу
  • Если руководство предписывает увеличить бюджет на ИБ и штат в 2 раза - соглашайтесь, не задумываясь.
Кто не догадался, что за сюжет - для ознакомления с красотой природы Сибири воспользуйтесь ссылкой:



Комментариев нет:

Отправить комментарий