Amerykańskie agencje doradzają, jak chronić się przed hakerami. Wystarczy kilka prostych działań, by się zabezpieczyć
Miesiąc Cyberbezpieczeństwa trwa w najlepsze i jest on okazją nie tylko do mnóstwa kampanii informacyjnych, które słychać także w polskich mediach, ale też organizacji wykładów, warsztatów czy dzielenia się informacjami przez organizacje i instytucjami zajmujące się cyberbezpieczeństwem zajmują się na co dzień. Ciekawymi danymi podzieliła się w ostatnim czasie amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury w duecie z NSA.
Katastrofy błędnej konfiguracji
Zwłaszcza w przypadku usług chmurowych czy nawet lokalnego oprogramowania adresowanego do biznesu i klientów enterprise’owych bardzo częstym błędem prowadzącym do niekiedy katastrofalnych skutków jest nieprawidłowa konfiguracja wstępna . Oznacza to, że w zasadzie już w momencie wdrożenia, pierwszego uruchomienia, powstaje nowa powierzchnia ataku, a na to napastnicy tylko czekają.
CISA, która z prawnego obowiązku analizuje wszystkie przypadki naruszeń bezpieczeństwa, także pod kątem amerykańskiego bezpieczeństwa narodowego, opublikowała raport, w którym podsumowuje przypadki narażenia cyberbezpieczeństwa ze względu na błędne konfiguracje i przedstawiła listę najczęściej popełnianych błędów. Okazuje się, że w lwiej części sytuacji nie tylko relatywnie łatwo było wyeliminować zagrożenie, zanim jeszcze powstało . Można było także zaprojektować oprogramowanie tak, by niemożliwe było, aby do naruszeń w tym obszarze w ogóle doszło.
Największym problemem domyślne dane logowania
Jak bowiem dowiadujemy się z informacji, którymi podzieliła się CISA, najczęstszym, a przy tym najgroźniejszym błędem w konfiguracji, do jakiego dochodziło w analizowanych przypadkach, jest pozostawienie tak przez administratorów, jak i końcowych użytkowników na ich stacjach roboczych domyślnych danych uwierzytelniających. Słowem – nie są wykorzystywane mechanizmy resetowania domyślnych loginów i haseł po pierwszym logowaniu i nie jest wymuszane wprowadzanie własnych danych.
A stąd już prosta droga do katastrofy – wystarczy, że napastnik sam zainstaluje sobie dany software, sprawdzi, jakie są domyślnie wykorzystywane tam dane, a następnie np. zacznie skanować internet pod kątem wykorzystywanych przez daną usługę portów. Następnie w dalece zautomatyzowanym procesie może bombardować usługi domyślnymi loginami, aż do skutku . Nie ma tu większego zawoalowania, nie ma potrzeby stosowania mechanizmów odgadywania haseł typu brute force – loginy i hasła są już przecież znane, bo nikt ich nie zmienił.
Pomniejszych wyzwań jest więcej
Kolejne najpopularniejsze zagrożenia na polu błędnej konfiguracji to niewystarczająca separacja uprawnień użytkowników i administratorów. Często wynika ona z tego, że przez lata korzystania z jakiejś usługi czy oprogramowania role poszczególnych pracowników zmieniają się, lecz nie są zmieniane ich uprawnienia. W rezultacie dochodzi do zjawiska inflacji uprawnień – użytkownikom, którzy już od dawna nie potrzebują dostępu danych do danego zasobu, nie wyłącza się go, co znów stwarza powierzchnię ataku.
Kolejne problemy to między innymi niewystarczający monitoring sieci, ale też brak jej segmentacji – wydzielania poszczególnych przestrzeni użytkownikom o konkretnych uprawnieniach, tak aby nie mieli oni dostępu do całej infrastruktury. Dalej plasuje się niefrasobliwa polityka dotycząca aktualizacji – część administratorów zwleka z wdrożeniami łatek bezpieczeństwa, a dosłownie każda godzina opieszałości w tym zakresie może być wykorzystana przez napastników.
Bezpieczeństwo w sposób domyślny
Analitycy CISA nie mają większych złudzeń, że nie sposób w stu procentach polegać w kwestii rozwiązywania problemów z błędną konfiguracją na administratorach. Dlatego głównym wnioskiem z badań jest to, aby to na producentów oprogramowania i dostawców usług przenosić obowiązki, zgodnie z pryncypiami security-by-design i security-by-default . W ten sposób można rozwiązać raz na zawsze najczęstszy problem z domyślnymi danymi – wystarczyłoby wymuszać ich reset odgórnie, a nie pozostawiać go w gestii administratorów.