Informacinių sistemų saugumas
Septyni pavojingiausi informacinių sistemų atakos vektoriai
Įvadas
Pakalbėkime apie informacinių sistemų saugą, konkrečiau – apie jos silpnąsias vietas bei technines apsaugos priemones. Kokia yra oficiali Nacionalinio kibernetinio saugumo centro (toliau – NKSC) statistika ir kokios spragos buvo pastebėtos 2022-aisiais metais?
2021-aisiais metais NKSC atliko Lietuvos interneto svetainių vertinimą [1]. Tyrimo apimtis 200245 aktyvių aukščiausiojo lygio .lt domenų. Dažniausiai sutinkamos turinio valdymo sistemos (toliau – TVS) - Wordpress, retesnės – Prestashop ir Joomla, iš viso skaičiuojama 67514 TVS. Reikia pastebėti, kad dalis iš jų buvo ne naujausios versijos.
NKSC informavo savininkus ir pateikė rekomendacijas, kaip mažinti dėl neatnaujintos programinės įrangos kylančias grėsmes. Šias rekomendacijas galite rasti čia [2]. Tačiau tai neišsamus vertinimas, išsamesniu turėtų pasirūpinti patys savininkai. NKSC siūlo patogų, automatinį, skenavimui skirtą įrankį – OWASP ZAP [3].
Buvo užfiksuoti tik 34 atvejai, kurie susiję su informacinių sistemų pažeidžiamumo paieška ir (ar) elektroninių duomenų grobimu. (NKSC ataskaita, 2021).
Kalbant apie viešojo sektoriaus pažeidžiamumo tyrimą, iš 1497 skenuotų svetainių 60 proc. buvo aptikta spragų (NKSC ataskaita, 2021). Pastebėta, kad daugėja viešųjų pirkimų, leidžiančių spręsti kibernetines problemas. Taigi, šių problemų sprendimui yra skiriamas tam tikras biudžetas ir problemos yra tvarkomos.
Sudėtinga kalbėti apie privatų sektorių. Mūsų patirtis yra subjektyvi, bet norime ja pasidalinti, aptardami, kokias silpnas vietas pastebėjome ir kaip jas vertiname. Vienos iš jų yra susijusios su verslo logika, kitos – su programavimo pažeidžiamumu bei konfigūravimo trūkumais. Apžvelkime septynis pavojingiausius informacinių sistemų atakos vektorius, aptiktus 2022–aisiais metais. Minimi atakos vektoriai turi OWASP 2021 atitiktį [4].
1. Identifikavimo ir autentifikavimo spragos (OWASP A07:2021)
Paskyrų kūrimas ar prisijungimas prie informacinės sistemos gali būti labai atviras procesas. Iš puslapyje teikiamo atsakymo galima suprasti ar toks vartotojas bei slaptažodis jau egzistuoja. Jeigu jungimosi bandymų skaičius nėra ribojamas, tai piktavalis gali išbandyti įvairius prisijungimo prie paskyrų rinkinius, norėdamas/bandydamas neteisėtai prisijungti prie sistemos. Tokių spragų pasitaiko ir didžiausiose Lietuvos įmonėse. Svarbu, kad jos būtų laiku pastebėtos ir apie jas pranešta. Nepaisant to, tai kelia labai didelį pavojų: pirma, tai santykinai nesudėtinga atlikti; antra, vartotojai prisijungimo duomenis dažniausiai vartotoja tokiu pačius arba panašius ir įvairiose kitose sistemose.
Trumpalaikis sprendimas: CAPTCHA ar panašūs užklausų ribojimai, vartojant WAF.
Ilgalaikis sprendimas: nesėkmingi autentifikacijos pranešimai turėtų būti bendriniai, neatskleidžiantys netinkamų kriterijų. Registracijai reikia naudoti patvirtinimą, gautą el. paštu ir tik tada atlikti likusius žingsnius.
2. Silpnai apsaugoti jautrūs duomenys (OWASP A02:2021)
Dauguma modernių TVS slaptažodžiams saugoti naudoja saugų Bcrypt algoritmą. Pastebėta, kad kai kurios specialiu užsakymu gamintos sistemos naudojo MD5 ar SHA1 algoritmus. Šie algoritmai jau nėra saugūs, nes duomenų nutekėjimo atveju per labai trumpą laiką būtų išsiaiškinti slaptažodžiai.
Sprendimas: modernizuoti slaptažodžių šifravimo funkcijos algoritmą.
Jautriu failų, tokių kaip išeities kodo ar duomenų bazių archyvai, yra palikti šakniniame kataloge. Piktavaliui tai yra bingo; jam nereikia traukti duomenų po vieną. Bandymo metu atrandami tokie failai ar direktorijos, kaip svetaine.sql.zip, domenas.lt.zip arba .git.
Sprendimas: atsarginių duomenų kopijas reikia saugoti ne tinklalapio serverio kataloge. Taip pat reikia riboti prieigą prie .git ir kitų jautrių direktorijų.
3. SQLi, XSS ir kitos injekcijos (OWASP A03:2021)
Injekcijos, tai dėl programavimo spragų kylantis atakos vektorius. Šis vektorius yra vienas iš pavojingesnių ir nepriklausomai nuo to ar sistemos komponentai yra atnaujinti, jis gali sistemoje ilgai egzistuoti. Piktavalis, naudodamas SQL injekcijas, gali pavogti visą duomenų bazę, tačiau tai atlikti jam reikėtų daugiau pastangų ir laiko. Naudodamas XSS injekciją, jis galėtų pavogti sistemos vartotojo sesiją, tačiau tam reikia įtikinti vartotoją paspausti nuorodą.
Sprendimas: iš vartotojo priimami duomenys neturi būti interpretuojami kaip kodas, reikia parametrizuoti arba nukenksminti specialiuosius simbolius.
4. Nepakankama apsaugos konfigūracija (OWASP 05:2021)
Informacinės sistemos saugumui užtikrinti galima naudoti WAF. Jis veikia kaip skydas, svetainės serveryje nereikia daryti keitimų, yra atliekamas tik DNS nukreipimas. Pastebėta, kad administratoriai palieka viešai prieinamus prievadus prie pirminio serverio IP adreso. Piktavalis gali apeiti WAF apsaugą, nukreipti srautą tiesiai į pirminį IP adresą, kuris buvo rastas DNS istorijoje.
Sprendimas: visiems apriboti prievadus, leisti tik WAF Edge serverio IP adresus.
Dažniausiai TVS, pagal nutylėjimą, palieką atvirą prieigą prie administratoriaus valdymo pulto
Sprendimas: reikėtų riboti prieigą prie administratoriaus valdymo pulto, leisti pasiekti tik iš tam tikrų IP adresų.
5. Sugedusi prieigos kontrolė (OWASP A01:2021)
Jautrūs failai pasiekiami per URL nuorodą, pvz.: failai, tokie kaip nuotraukos su metaduomenimis iš CDN talpyklos, ar operacinės sistemos failai, tokie kaip „/etc/passwd“.
Sprendimas: izoliuoti informacinės sistemos failus nuo operacinės sistemos failų; kitus failus pervardinti unikaliais vardais ir pritaikyti vartotojų failų prieigos kontrolę, įvedus sesijos slapukus.
6. Pažeidžiami komponentai (OWASP 06:2021)
Kaip anksčiau esame aptarę, TVS yra labai populiarios, o problema atsiranda tada, kai šių sistemų komponentai, tokie kaip įskiepiai, nėra atnaujinami. Pažeidžiamumai gali būti įvairūs nuo duomenų atskleidimo iki TVS užvaldymo.
Sprendimas: atsinaujinti įskiepius ir TVS, tačiau reikia turėti omenyje, kad gali sutrikti sistemos veikimas. Todėl visada yra rekomenduojama pasidaryti atsarginę kopiją, žinoma, ji taip pat turi būti apsaugota.
7. Dizaino ir architektūros trūkumai (OWASP A04:2021)
Tai pažeidžiamumas, kylantis dėl verslo logikos, aplikacijos architektūros ir kitų trūkumų. Duomenų gremžimas yra vienas iš pavyzdžių. Automatizuoti robotai gali nuskaityti ir apdoroti viešą informaciją, esančią skelbimų portaluose, bei kitus laisvai internete prieinamus duomenis, tokius kaip el. pašto adresas, telefono numeris, miestas ir kiti.
Sprendimas: naudoti WAF ir „Bot Scraping Shield“ funkciją.
Ilgalaikis sprendimas: įdiegti tarpinius kontaktus, tokius kaip telefono numerį ar el. paštą, kurie užmaskuotų tikruosius duomenis.
Išvados
Pavojus nebuvo didelis, bet ar jis bus toks ir 2023-aisiais? Mūsų nuomone, šiais metais reikėtų daugiau dėmesio skirti el. parduotuvių saugai. Visų pirma šios sistemos turi daug asmens duomenų, antra, kuriamos naudojant TVS, kurioms būdingi minėti atakos vektoriai. Konkrečiu atveju, duomenų tvarkymo saugumas skirsis, dėl to į kai kuriuos klausimus, susijusius su numatomu atlikti asmens duomenų tvarkymu, padėtų atsakyti asmens duomenų tvarkymo operacijų rizikos vertinimas. Rezultatai atskleistų, kokios rekomenduojamos techninės ir organizacinės asmens duomenų saugumo priemonės galėtų būti taikomos.
Pvz.: el. parduotuvės, prekiaujančios batais ir kitu atveju vaistais, vertinimas gali skirtis ir dažnai, vaistais prekiaujančiai el. parduotuvei bus taikomi griežtesni reikalavimai prieigos kontrolei, programinės įrangos atnaujinimų įdiegimo laikui, naudojami šifravimo metodai ir panašiai.
Esant reikalui, duomenų valdytojas turi gebėti įrodyti, kad tinkamai laikosi BDAR nuostatų. Tai daug lengviau padaryti, kai galima įrodyti, kokia metodika, standartai ar gamintojo rekomendacijos yra taikomos, kuo remiantis konfigūruojamos sistemos ir panašiai.
Jeigu norite sužinoti, ar Jūsų informacinės sistemos techninės saugumo priemonės atitinka nustatytą riziką, prašome kreipkitės, padėsime išsiaiškinti tai, pagal VDAI nustatytas gaires [5]. O gal norite ataskaitos pavyzdžio, ar komercinio pasiūlymo? Rašykite [email protected]
Šaltiniai:
1) https://www.nksc.lt/doc/Nacionaline-kibernetinio-saugumo-ataskaita-2021.pdf
2) https://www.nksc.lt/rekomendacijos/interneto_svetainiu_apsauga.html
3) https://site-check.nksc.lt/
4) https://owasp.org/www-project-top-ten/
5) https://vdai.lrv.lt/uploads/vdai/documents/files/VDAI_saugumo_priemoniu_gaires-2020-06-18.pdf