Поделиться
«Информзащита» составила рейтинг топ-10 уязвимостей при ASV-сканированиях
Компания «Информзащита» представила свой новый аналитический отчет по уязвимостям различного класса, выявленным в ходе аудитов ИБ в компаниях разных бизнес-отраслей. Как сообщили CNews в «Информзащите», на этот раз специалисты компании собрали и проанализировали данные по уязвимостям при проведении ASV-сканирований за 2014 г. и первый квартал 2015 г.
На основании исследования был составлен топ-10 популярных уязвимостей (см. таблицу ниже), наиболее часто встречающихся при проведении ASV-сканирований в банках (51% от общего числа компаний, в которых были выявлены уязвимости в ходе аудитов ИБ), процессинговых центрах (20%), торгово-сервисных предприятиях (20%), платежных шлюзах (7%) и телеком-компаниях (2%).
По данным «Информзащиты», наиболее часто встречающиеся уязвимости были обнаружены в устаревших версиях программного обеспечения Apache, Microsoft IIS и Open SSL, а в протоколах IPSec, SSL и Microsoft RDP было выявлено использование слабого шифрования. По словам специалистов компании, частота выявления уязвимостей в данном программном обеспечении обусловлена популярностью их использования. Нередко при первом прохождении ASV-сканирования выявляется доступный извне протокол TELNET.
Уязвимости оценивались по системе Common Vulnerability Scoring System (CVSS v2), предназначенной для их классификации по шкале критичности от 0 до 10, где: 0,0 – 3,9 — низкая степень критичности; 4,0 – 6,9 — средняя степень критичности; 7,0 – 10 — высокая степень критичности.
Топ-10 уязвимостей, наиболее часто встречающихся при проведении ASV-сканирований в компаниях |
|||
|---|---|---|---|
| № п.п. | Название уязвимости | Критичность уязвимости по шкале CVSS* | Как часто встречается у заказчиков |
| 1. | SSL Server Supports Weak Encryption Vulnerability | 9,00 | 32% |
| 2. | Internet Information Services Could Allow Elevation of Privilege (CVE-2009-1122) | 7,60 | 32% |
| 3. | Microsoft Outlook Web Access Redirection Weaknesses (CVE-2005-0420, CVE-2008-1547) | 7,50 | 29% |
| 4. | OpenSSL Multiple Remote Security Vulnerabilities (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470, CVE-2014-0076) | 6,80 | 25% |
| 5. | Apache HTTP Server Prior to 2.4.10 Multiple Vulnerabilities (CVE-2014-0231, CVE-2014-3523, CVE-2014-0117, CVE-2014-0118, CVE-2014-0226) | 6,80 | 25% |
| 6. | Weak IPsec Encryption Settings | 6,40 | 25% |
| 7. | X.509 Certificate MD5 Signature Collision Vulnerability (CVE-2004-2761) | 5,00 | 21% |
| 8. | Account Brute Force Possible Through IIS NTLM Authentication Scheme (CVE-2002-0419) | 5,00 | 14% |
| 9. | DNS Zone Transfer Enabled on Internet Facing Interface | 5,00 | 14% |
| 10. | Windows Remote Desktop Protocol Weak Encryption Method Allowed | 4,70 | 11% |
Источник: «Информзащита»
«В целом значительная часть уязвимостей (даже с высоким показателем CVSS) может быть очень быстро и “безболезненно” устранена, поэтому в вопросах управления уязвимостями главную роль играет именно знание об их существовании, — подчеркнули в «Информзащите». — И тут всплывает ошибка №1, которую совершают многие организации».
Ошибка №1: Сканирования проводятся только по истечении срока предыдущего сканирования (1 раз в 90 дней).
Как пояснили в компании, проблема в данном случае заключается в том, что низкая периодичность сканирования не позволяет контролировать появление новых уязвимостей на публично-доступных хостах. В среднем в месяц выявляется около 100 новых уязвимостей, часть из которых вполне может иметь средний и высокий уровни критичности.
«Даже если вы устранили критичные уязвимости во время прохождения очередного сканирования, это не отменяет факта повышенного риска компрометации публично-доступных хостов на протяжении прошедших трех месяцев», — подчеркнул Евгений Сачков, старший аудитор отдела безопасности банковских систем компании «Информзащита».
Для решения данной проблемы в компании предлагают: проводить плановые сканирования чаще, чем это требуется в рамках соответствия требованиям PCI DSS и ASV (например, ежемесячно); проводить внеплановые сканирования инфраструктуры при публикации информации о новых уязвимостях в новостных рассылках (для этого администраторы и сотрудники службы информационной безопасности должны быть подписаны на соответствующие рассылки, чтобы реагировать максимально оперативно).
Ошибка 2: Несвоевременная установка обновлений операционных систем, сервисов и прикладного программного обеспечения.
Уязвимости со статусом «Fail», выявленные незадолго до аттестационного ASV-сканирования (или уже в процессе) требуют оперативного устранения, что может потребовать перезагрузки операционной системы и сетевого устройства.
«Стоимость одной минуты простоя процессинга достаточно велика, что приводит к негативным последствиям в виде потери части прибыли, а также к появлению репутационных рисков в виде негативных отзывов», — указал Никита Перевалов, старший аудитор отдела безопасности банковских систем компании «Информзащита».
В «Информзащите» рекомендуют: проводить сканирования не только боевых систем, но и тестовых — часть уязвимостей можно просто «не переносить» в продакшн; формировать перечень уязвимостей, которые необходимо устранить в первую очередь; тщательно планировать технологические окна путем анализа нагрузки ресурсов в разное время.
«В рамках проведения аудитов PCI DSS мы иногда сталкиваемся с такой проблемой, как некорректно оформленный отчет по результатам проведения ASV-сканирований. Такой отчет является непригодным для подтверждения выполнения требований 11.2.2 PCI DSS», — добавил Никита Перевалов. По его словам, требования к формату отчета указаны в приложениях к документу Approved Scanning Vendors Program Guide Version 2.0 — Appendix A: ASV Scan Report Attestation of Scan Compliance и Appendix B: ASV Scan Report Executive Summary.
В общей части отчета Approved Scanning Vendor Information должны быть указаны реквизиты сотрудника компании, предоставляющей услуги по ASV-сканированию. Проверить, имеет ли компания статус ASV, можно на официальном сайте PCI SSC: Approved Scanning Vendors. В разделе ASV Attestation должен быть указан номер сертификата ASV компании.
«Нередки случаи, когда при проведении повторного сканирования “вчерашний” отчет со статусом Pass на следующий день приобретает статус Fail. Причина кроется в том, что разработчики сканеров пытаются обновлять свои базы уязвимостей в кратчайшие сроки после появления информации о выходе новой уязвимости. Поэтому, если заказчик действительно заинтересован в защищенности своих публично-доступных ресурсов, не следует подходить к реализации процесса управления уязвимостями формально», — заключили в компании «Информзащита».
Поделиться
Короткая ссылка
