Экспертов в области информационной безопасности часто спрашивают: «Каких угроз и уязвимостей нам следует опасаться в будущем?». Это очень интересный вопрос – но он показывает, что наша позиция в отношении информационной безопасности в корне неверна. Действительно, стоит ли вкладывать время и ресурсы в изучение будущих угроз, если мы до сих пор уязвимы для тех, о которых известно уже более 20 лет?
Если взглянуть на крупнейшие инциденты из прошлого, мы обнаружим, что зачастую в них не были задействованы уязвимости нулевого дня. Это же касается и наборов эксплойтов: в них достаточно редко входят эксплойты для новейших уязвимостей. Всесторонним исследованием этой проблемы занялись Дэвид Джэкоби (David Jacoby), эксперт «Лаборатории Касперского», и Мартин Яртелиус (Martin Jartelius), директор по безопасности компании-разработчика систем управления уязвимостями Outpost24. При этом использовались собранные Outpost24 уникальные статистические данные по технологическим рискам, в нескольких компаниях был проведен аудит информационной безопасности, в том числе тесты с применением приемов социальной инженерии и тесты на проникновение. Важно отметить, что в ходе исследования эксплуатация уязвимостей не осуществлялась.
Приступив к анализу статистических данных, мы довольно быстро убедились в своей правоте. Выясняя, какие уязвимости наиболее актуальны, мы проверили, как часто в атаках использовались старые уязвимости. В настоящем отчете используются статистические данные по Швеции и Бенилюксу.
Изученная нами статистика показывает, что компании в целом неплохо защищены от эксплуатации новых уязвимостей, однако, как ни странно, со старыми дело зачастую обстоит хуже. В некоторые системах до сих пор не закрыты уязвимости, известные уже более 10 лет.
Не менее важно представлять, какие именно системы мы стремимся защитить. В наше время очень большое внимание уделяется критически важным объектам инфраструктуры, однако какие еще общественные ресурсы следует считать критически важными? Относятся ли к этой категории, скажем, гостиницы, больницы или, например, радиостанции?
При проведении исследования всегда важно изучать реальные факты, и один из способов – самому заняться черной работой. Мы решили выяснить, как обстоят дела с информационной безопасностью в компаниях различных отраслей. Идея состояла в том, чтобы организовать на местах аудит информационной безопасности с использованием контрольного списка требований, заранее подготовленного на основе полученных данных. Мы хотели выяснить, есть ли в проверяемых компаниях системы, уязвимые к старым угрозам, каким образом в этих организациях обеспечивается информационная безопасность, а также провести множество дополнительных тестов. Надо отметить, что лишь немногие компании согласились участвовать в таком испытании. По нашему мнению, сегодня это одна из ключевых проблем: мы тратим больше времени на новые интересные уязвимости и угрозы, чем на работу с реальными проблемами. Мы все же решили провести это испытание, и результаты оказались достаточно интересными.
Полную версию отчета об исследовании (на английском языке) можно найти здесь: http://www.securelist.com/en/downloads/vlpdfs/exposing_the_security_weaknesses_we_tend_to_overlook.pdf
Бреши в безопасности: новый взгляд на старые уязвимости