Все совершают ошибки. Это предложение было вбито в меня на моей самой первой технической работе, и с тех пор оно постоянно подтверждается. В мире кибербезопасности неправильные настройки могут создать эксплуатационные проблемы, которые могут преследовать нас позже, так что давайте рассмотрим несколько распространенных неправильных настроек безопасности.
Первая - это права разработчиков, которые не меняются, когда что-то уходит в продакшн. Например, во время разработки на корзины AWS S3 часто присваиваются разрешающие права. Проблемы возникают, когда проверка безопасности не проводится тщательно перед запуском кода в прод, независимо от того, идет ли речь о первоначальном запуске платформы или об обновлениях.
Результат прост: AWS запускается с возможностью чтения и записи на нее и с нее для всех. Эта конкретная неправильная настройка опасна; поскольку приложение работает, а сайт загружается для пользователей, нет никаких видимых признаков того, что что-то не так, пока на него не наткнется хакер, охотящийся на открытые AWS.
Тщательная проверка безопасности всех приложений и сайтов до того, как они попадут в боевую среду, как для первоначального запуска, так и для циклов обновления, критически важна для выявления такого типа неправильной конфигурации. Каждый AWS должен быть проверен и на нем должны быть установлены минимальные для работы платформы разрешения и ничего больше.
Что касается не облачных решений, одной из наиболее распространенных неправильных настроек являются не примененные групповые политики, политики защиты от вредоносного ПО и другие централизованно распространяемые правила и обновления. Ноутбуки, которые редко когда-либо подключаются непосредственно к сети компании, могут работать в течение нескольких месяцев без получения этих критических апдейтов, оставляя их незащищенными по мере изменения ландшафта безопасности.
Одним из распространенных примеров является ноутбук, который находится в роуминге в течение длительного периода времени. Такому ноутбуку может быть запрещено получать обновления групповой политики Active Directory, когда он не подключен к VPN или другому защищенному соединению, что приведет к тому, что его GPO со временем устареет. Это означает, что запрещенные действия или операции могут быть возможны на таком ноутбуке, оставляя защищенную сеть открытой, когда это устройство, наконец, подключается и снова получает доступ к защищенным ресурсам.
Устройства должны принимать изменения политик до получения доступа к критичным ресурсам. Такие инструменты, как AzureAD и децентрализованные платформы защиты от вредоносного ПО могут позволять удаленным устройствам безопасно получать обновления. HTTPS подключения обычно достаточно для этих инструментов, чтобы установить обновления и применить изменения политик безопасности.
Использование распределенного управления устройствами гарантирует, что они приведены в соответствие с актуальными политиками, даже те устройства, которые используются только для доступа к облачным ресурсам и не подключаются напрямую к защищенным сетям организации регулярно.
Многие такие инструменты, особенно системы защиты от вредоносного ПО, даже не требуют, чтобы устройство управлялось с помощью платформ управления мобильными устройствами. Это означает, что даже если устройство не является «собственностью» организации, его все равно можно содержать в актуальном состоянии и защищать.
Пока мы говорим об удаленных работниках, есть еще одна распространенная проблема конфигураций. VPN системы позволяют удаленным работникам безопасно получать доступ к данным компании, но большое количество VPN клиентов «из коробки» имеют небезопасную конфигурацию. Настройки VPN со сплит-туннелем направляют пользовательский трафик по защищенной сети только тогда, когда к защищенным системам осуществляется доступ, а весь остальной трафик отправляется непосредственно в интернет.
Это означает, что когда пользователь пытается соединиться с файловым сервером, он делает это через VPN, но звонок в Skype проходит через незащищенное интернет соединение. Хотя это и повышает производительность, проблема заключается в том, что пользовательское устройство может создать мост между внешним миром и внутренней сетью. С помощью некоторой социальной инженерии атакующий может создать постоянное соединение с пользовательским устройством, а затем использовать VPN-туннель этого пользователя для проникновения в защищенную сеть.
Подавляющее большинство VPN-клиентов поддерживают однотуннельные конфигурации. Это означает, что пока VPN активен, весь трафик будет проходить через сеть организации, включая трафик, предназначенный для внешних источников. Это также означает, что весь трафик будет подвергаться такому же контролю, как и трафик, исходящий от пользователей, непосредственно подключенных к защищенным сетям.
Неправильные настройки могут появиться очень легко и представляют собой явную угрозу для безопасности организации. Трата времени на пересмотр параметров безопасности, когда приложения запускаются в продакшн или обновляются может стократно окупить себя в случае инцидента безопасности.
Кроме того, организации могут внедрять средства непрерывной проверки безопасности, которые в онлайн-режиме проверяют и оценивают цифровую среду так же, как хакер ищет неправильные настройки.
Сочетание этих двух подходов: ручной и непрерывной автоматизированной проверки безопасности - добавляет некоторую сложности проектам, но стоит каждой секунды, потраченной на то, чтобы убедиться, что все настроено должным образом на каждой итерации технологического процесса.
Перевод сделан со статьи: https://thehackernews.com
