Раз уж в последние несколько дней ходит шум вокруг уязвимости Cisco IOS XE CVE-2023-20198, то позволю и себе высказаться на эту тему. Не буду пересказывать первоисточники, переводя на русский, хотя краткую выжимку рекомендаций дам.
Когда возникает подобная новость об уязвимости, в первую очередь у ИБшника и владельца зоопарка систем возникает вопрос: а что же у меня под угрозой?
Список платформ, работающих на Cisco IOS XE, можно найти по ссылке.
Как понять, что ваша платформа уязвима?
Наверное, каждый обращал внимание, что редкая организация не спрашивает, как можно к вам обращаться, по какому бы вопросу ты ни звонил.
- Подскажите, где ближайший банкомат к станции метро такой-то?
- Как я могу к вам обращаться?
---
- Видел на сайте, что у вас в наличии автомобиль такой-то, по такой-то цене. Информация актуальна?
- Как я могу к вам обращаться?
---
Список можно продолжать очень долго. Когда-то я практиковал метод, при котором каждому новому ресурсу представлялся новым именем. Но имена быстро закончились, а вести таблицу было лень. Можно пробовать одно имя на целое направление (банки, автосалоны, магазины) - так таблица меньше. А можно вообще отвечать что-то типа:
- Как я могу к вам обращаться?
- Пока никак не нужно обращаться. Мне сейчас нужен только ответ на вопрос.
С той стороны может возникнуть замешательство, недоумение и прочие эмоции, кроме положительных, поэтому, кому не нравится такой поворот - метод не подойдет. Но какая-никакая эффективность у этого метода есть. Потом звонков меньше. Видать, пустое поле не особо заполняют, чтобы не возникало вопросов. Хотя, стоит учесть, что узнать имя человека по номеру телефона вполне легальным методом в большинстве случаев проблемы не составляет.
Но, кому не претит метод замалчивания имени - пользуйтесь.
Интересный высер от Business Insider, запроксированный сесуритулабом, прочитал я сегодня. Ну и, конечно, создал мем на эту тему, чтобы вы не унывали, дорогие представители одной из худших (оказывается) профессий по версии ИБшного портала.
Что на эту тему пишет первоисточник по-нерусски: "You spend a lot of time reviewing a lot of logs and then, just when you think you've solved a critical data breach, a new hacker erases all the good you've done, the world is not a better place and you are back at square one."
Конечно, если компания вместо создания собственного SOC либо покупки сервиса SOC нанимает аналитика, превращая в живой SIEM, то так себе его судьба, если не запилит автоматизированную корреляцию хотя бы на open source. Кстати, лет много назад я собеседовал человека, который как раз и был таким живым ArcSight'ом компании на тот момент. Дяденьке было 45+, и ничего.
Но если вернемся к инфе из Business Insider, то можно заметить, что цитата по-нерусски сгенерирована не кем-нибудь, а целой CEO of a tech career coaching service for women!
В отличие от остальных профессий из списка, Cybersecurity Analyst имеет уровни, и если в логе копается форензист либо threat hunter, то это уже всем логам лог. А они тоже аналитики кибербеза, но уже выбравшие специализацию. Правда, чтобы и на начальный уровень попасть, тоже нужно много чего знать. Тут да, легкий старт не выйдет.
Так что, пацаны, это работа для нас с вами. В обработке логов есть высший смысл и инструменты автоматизации. Если проникся - ты в игре.
Кибербез надо любить. Это мужская работа.
Появилась новость о том, что теперь за утечку ПДн организации могут получать оборотные штрафы: от 5 до 500 млн рублей, или до 3% от годового оборота. И самый интересный вопрос: при принятии решения регулятор будет руководствоваться принципом "что больше", или "что меньше"?
Например, построил человек небольшой домик на 4 отдельных входа, и решил сдавать его, как гостевой, чтобы не простаивал зря. Зарегистрировался, как ИП (кстати, к ним это применимо?). Место живописное, но не особо раскрученное, поэтому установлена цена 5 000р за ночь за комнату, 20 000р за весь дом. Предпринимателю настолько сопутствовала удача, что каким-то чудом все секции были заняты каждую ночь в году.
Сколько заработает за 1 год такой бизнес в идеальном случае:
20 000р х 365 = 7 300 000р
Чтобы из этого получилась прибыль - нужно отнять разнообразные расходы.
Совсем не обрабатывать персональные данные такая организация не может, ибо обязана регистрировать посетителей и предоставлять информацию соответствующим регуляторам. Если работает в белую, конечно. И вдруг происходит утечка, о которой становится известно, и бизнесмену выставляется ай-яй-яй.
1 мая 2022 был подписан Указ Президента Российской Федерации № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
Если пристально взглянуть на перечисленные в п. 1 типы организаций, становится очевидно:
В каком-нибудь региональном "Центре дезинфекции", задача которого - травить грызунов, с высокой вероятностью не ИБшник станет заместителем генерального директора, а на кого-то из существующих замов возложат эту честь. Более того, подшефное такому заму подразделение пойдет по последней строчке пункта б) из скриншота, разделив с боссом почетную функцию. И, вероятнее всего, это будет ИТ-подразделение. Возможно, состоящее из одного человека (того самого зама).
При правильном подходе качество ИТ-специалистов таких компаний возрастет, поскольку обеспечение ИБ в технологиях требует полного изучения принципов их работы.
Самим же ИТ-специалистам придется взглянуть на поддерживаемые ими технологии под другим углом, если ранее не приходилось этого делать.
Посмотрим, что из этого получится.
Все хорошо помнят 2014 год с открывшейся на теле набирающего обороты HTTPS уязвимости с идентификатором CVE-2014-0160, более известной, как Heartbleed. Аналогично запомнится декабрь 2021 года с набором уязвимостей в Apache log4j. Подробно на их описании и методах лечения останавливаться не буду, по ссылкам выше доступна вся необходимая информация. Больше хотелось бы обратить внимание на то, что в обоих случаях подвержены уязвимости оказались не все версии, а лишь часть их.
Я отлично помню рекомендацию, которую в 2014 году сам же выкатил ИТ-специалистам: на уязвимых к Heartbleed системах после применения лекарства сменить ключи и пароли. То же самое стоило сделать на используемых мной средствах защиты.
Кто не в курсе, недавно у одного из брокеров по имени Robinhood произошла утечка информации. Некто получил доступ к списку email-адресов порядка 5 млн пользователей, полные ФИО еще 2 млн пользователей. Несколько тысяч записей содержали номера телефонов. При этом номера банковских карт и социальной страховки не утекали, реализации идеологии сказочного персонажа не произошло. К чести службы ИБ брокера, они заметили этот инцидент. Судя по информации от Robinhood, утечка произошла в результате социальной инженерии, которую применили к сотруднику саппорта.
Я, как и преобладающее большинство, не в курсе всей ситуации, но считаю, что некоторые организационно-технические меры могли бы помочь:
Недавно на конференции USENIX Security Symposium была опубликована статья под названием Weaponizing Middleboxes for TCP Reflected Amplification. До этого традиционно считалось, что атаки типа Reflected Amplification - побочный эффект использования протокола UDP. TCP казался абсолютно неуязвимым в связи с необходимостью верификации инициатора сессии методом "тройного рукопожатия". Оказалось, что Reflected Amplification с TCP не только возможен, но в некоторых случаях коэффициент усиления может быть практически бесконечным.
Конечно, вольное переложение статьи на русский было уже предпринято такими порталами, как Securitylab.ru и xakep.ru, но позволю себе не только покритиковать их, но и представить свой вариант изложения сути исследования по TCP amp DDoS на русском языке. Для иллюстрации буду использовать слайды оригинальной презентации - уж слишком они хороши, чтобы придумывать что-то свое.
Атака типа amplification с использованием протокола на базе UDP при условии подмены адреса жертвы выглядит так:
Middlebox'ами можно назвать:
Перечень не исчерпывающий.
Условия, которым должен соответствовать middlebox, чтобы его можно было использовать в атаке TCP Reflected Amplification:
То есть, архитектура, подразумевающая обработку TCP-сессий полностью на одном устройстве, либо с онлайн-обменом информацией о сессиях между участниками обработки трафика, не может быть использована в TCP amp-атаке.
|
Флаги
пакетов |
Успешно |
% успешности |
Коэффициент усиления |
|
[SYN; PSH+ACK] |
128 |
69,6 |
7455 |
|
[SYN; PSH] |
121 |
65,7 |
24 |
|
[PSH] |
82 |
44,6 |
14 |
|
[PSH; ACK] |
61 |
33,2 |
21 |
|
[SYN+payload] |
21 |
11,4 |
527 |
Бесконечное усиление может быть вызвано повторной отправкой middlebox'ом страницы с контентом на RST-пакет жертвы, отправляемый в ответ на нежданный пакет с данными вне существующей TCP-сессии.
Для того, чтобы минимизировать риск участия оборудования государственной цензуры в атаках TCP reflected amplification, стоит обратить внимание на такие меры:
Еще 8 лет назад я изучил различные варианты внедрения WAF в инфраструктуру компании для защиты ее веб-ресурсов. Ни вендор, ни интегратор тогда не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому, причем на тот момент выбранный вариант шел вразрез с рекомендованным дизайном вендора (только через пару лет вендор изменил свой дизайн на тот, что выбрал я). Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим. Несколько дней назад я понял, что тема актуальна и до сих пор, поэтому решил написать эту статью.
Составлю эту статью в основном из скриншотов слайдов презентаций, с которой выступал на разных конференциях.
Вряд ли для кого-то это будет новостью, но дам вводное определение WAF своими словами:
За прошедший год многие работодатели переосмыслили свое отношение к удаленной работе, специалисты по информационной безопасности - риски удаленной работы, а производители и интеграторы получили возможность продавать существующие наборы технологических решений под задачи обеспечения удаленной работы, ее удобства и безопасности. Возможные варианты минимизации рисков ИБ направлены на:
кибератак либо утечек. И это не считая неотключаемого логирования. Риск перехвата и модификации интернет-трафика решается посредством VPN, возможные варианты утечки информации из случайно услышанных разговоров через членов семьи минимизируются выделением отдельного кабинета (если есть возможность) либо переселением совещающихся по удаленке на время совещания в отдельную комнату.
При этом за кадром оставался и будет оставаться риск утечки через соседей, которые, вроде, и не подслушивают, и даже не пытаются это сделать, но могут стать невольными слушателями совещаний из-за плохой звукоизоляции квартир. Даже без примитивных подслушивающих техник, доступных рядовому обывателю.
