Блог

Пробелы в системах безопасности объектов критической информационной инфраструктуры (ОКИИ)

Критическая информационная инфраструктура (КИИ) — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления государственных учреждений, российских юридических лиц и (или) индивидуальных предпринимателей, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных.
К объектам критической информационной инфраструктуры (ОКИИ) относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, обрабатывающие информацию, необходимую для обеспечения всех необходимых процессов в рамках выполнения функций субъектов КИИ.
Несмотря на высокий уровень требований к обеспечению защиты от компьютерных атак, на практике выявляются существенные пробелы в реализации мер безопасности объектов КИИ, негативно сказывающиеся на их защищенности. Вместе с возросшим интересом злоумышленников к объектам КИИ, усложнением всей цепочки атак и конкретных методов, используемых на каждом из ее этапов, такой недостаток защищенности может приводить к серьезным последствиям, начиная от недоступности критичных сервисов и заканчивая полной блокировкой работы важных производств, угрозы жизни и здоровью людей.
В статье делимся с вами наиболее распространенными техническими и организационными ошибками в построении систем безопасности значимых ОКИИ, но прежде чем перейти к ним, рассмотрим подробнее самые распространенные и эффективные сценарии атак на инфраструктуру. Понимание этих способов позволяет организациям заблаговременно принимать соответствующие меры противодействия и снизить общий риск реализации компьютерной атаки, проведенной указанным способом.

Четыре основных способа, с помощью которых злоумышленники проникают в системы КИИ

1. Компрометация опубликованных сервисов
2. Атаки через цепочку поставок (Supply Chain)
3. Утечка учетных записей для VPN
4. Социальная инженерия
1. Компрометация опубликованных сервисов
Ошибки в проектировании демилитаризованных зон (DMZ) — одна из самых распространённых проблем. Устаревшие подходы к построению DMZ, основанные на физическом разделении систем, больше не соответствуют реалиям, в которых зачастую достаточно сложно переплетены слои логики. Современная IT-инфраструктура имеет непростую архитектуру, в которой опубликованный сервис фактически находится далеко внутри инфраструктуры, чаще всего в виртуальном исполнении, на гипервизорах. В этом случае на первое место выходит именно логическая сегментация сети, правильное выделение зоны публичных сервисов и логической внутренней инфраструктуры, корректная настройка по взаимодействию этих сегментов.

При использовании некорректно спроектированной DMZ злоумышленник может в несколько действий получить доступ к внутренней сети после компрометации всего лишь одного публичного сервиса.
2. Атаки через цепочку поставок (Supply Chain)
Компрометация подрядчика или контрагента, с которым выстроены доверенные каналы — так называемый Supply Chain (цепочка поставок), на данный момент является одним из самых эффективных векторов атаки на любые инфраструктуры.

Значительное количество инцидентов связано с компрометацией подрядчиков или контрагентов, имеющих привилегированный доступ к отдельным (или в целом) системам КИИ, так как инфраструктуры подрядчика чаще всего защищены на порядок хуже, чем сами ЗОКИИ.
3. Утечка учетных записей для VPN
Подключение к инфраструктуре из-за пределов ее границ в настоящий момент стало необходимой реальностью и для этих целей часто используется технология VPN, которая связывает рабочее место сотрудника, вне зависимости от его реального физического расположения, с локальной сетью и сервисами.

Получение учетных записей VPN позволяет злоумышленнику беспрепятственно «пройти» сквозь периметровые средства защиты, пограничные фаерволы, системы предотвращения вторжений и оказаться сразу в локальной сети, как будто бы он находился за рабочим местом сотрудника внутри инфраструктуры.
4. Социальная инженерия
Даже самую продвинутую техническую защиту можно обойти, используя человеческий фактор. Мошенничество, фишинг, телефонные звонки под видом сотрудников — все это остается актуальным, так как человек всегда самое уязвимое звено в абсолютно любой инфраструктуре.

Несмотря на общий рост осведомленности сотрудников в вопросах кибербезопасности, чуть более сложные атаки хакеров чаще заканчиваются успешно. Работа с персоналом в данном направлении требует регулярности и учета всего используемого злоумышленниками арсенала инструментов.
По итогам IV квартала 2024 года социальная инженерия продолжает оставаться одним из наиболее популярных методов для атак как на организации (50%), так и на частных лиц (88%). Основным каналом социальной инженерии для организаций остается электронная почта (84%), для частных лиц — сайты (44%).

[Голушко А. Актуальные киберугрозы: IV квартал 2024 года — I квартал 2025 года // Positive Technologies]
Рис. 4 сценария, где красным цветом отмечены мероприятия, способные нейтрализовать, либо замедлить реализацию атаки, уменьшить время реакции защищающихся и замедлить злоумышленников.

Основные ошибки, обнаруженные в архитектуре систем безопасности объектов КИИ

1. Включение в состав доменов средств управления СрЗИ
Часто в домен добавляются средства управления антивирусом, бэкап-системы, системы мониторинга и другие элементы безопасности, имеющие элементы обратной связи. В чем заключается проблема? Практически всегда злоумышленник в инфраструктуре фокусирует свое внимание на компрометации домена. В случае, если узлы управления подсистемами безопасности включены в домен, компрометация домена автоматически приводит к компрометации всей системы защиты информации.
2. Раскрытие информации о структуре объектов КИИ
Одним из важнейших этапов в проведении атаки является разведка. Злоумышленники, используя открытые данные, собирают максимально возможный объем информации о целевой инфраструктуре. К сожалению, владельцы часто сами предоставляют ценную информацию.

Злоумышленник получает возможность узнать внутреннюю адресацию, hostname серверов, перечень доменов различных уровней, используемых внутри организации через общедоступные источниках, например, в поле CN (common name) самоподписанного сертификата, выпущенного локальным СА организации.

Подобное раскрытие информации не всегда выглядит как прямая утечка данных, но оно значительно облегчает дальнейшую атаку, позволяя злоумышленнику понять, с чем он имеет дело и спланировать следующие шаги.
3. Публикация интерфейсов управления системами при наличии VPN (с попытками маскировки и без таковых)
Хорошей практикой является размещение интерфейсов управления системами таким образом, чтобы они не были доступны напрямую из внешних сетей (например, доступ только по внутреннему, «серому» IP-адресу, в том числе с использованием VPN, только с определенных адресов и т.д.). Но нередко встречаются случаи, когда такие интерфейсы опубликованы на «белых» IP-адресах, на которых размещена сама система, но они находятся на другом порту, что достаточно легко обнаруживается общедоступными средствами. С учётом того, что эти интерфейсы вполне могут являться конечными целями злоумышленника, такая «доступность» повышает шансы на успешную атаку.
4. Отсутствие PAM либо Jump-серверов
Отсутствие систем управления привилегированным доступом (PAM) или Jump-серверов позволяет злоумышленникам осуществлять уже упоминавшиеся ранее атаки на цепочку поставок (Supply Chain).

Помимо нарушения требований, указанных в приказах ФСТЭК по защите значимых объектов КИИ, отсутствие таких систем не позволяет осуществлять полноценный и эффективный контроль за действиями привилегированных пользователей, которые имеют максимальные права и возможности по воздействию на систему. Полная непрозрачность таких действий, в том числе, со стороны подрядчиков, приводит к огромным рискам компрометации систем.
5. Отсутствие МЭ типа Б и DMZ, либо их некорректная архитектура
Межсетевой экран типа Б и DMZ (сегмент сети, в котором должны располагаться опубликованные сервисы) при правильном подходе представляет собой базовый набор инструментов, позволяющий существенно повысить уровень защищенности систем. В отличие от межсетевого экрана типа А, который используется на границе сети и присутствует в подавляющем большинстве инфраструктур, МЭ типа Б осуществляет контроль и фильтрацию трафика внутри инфраструктуры, между ее логическими сегментами.

Правильно настроенный МЭ типа Б значительно снижает поверхность атаки в случае компрометации каких-либо узлов, в некотором смысле «запирая» злоумышленника на скомпрометированном хосте и существенно осложняя дальнейшее продвижение. К сожалению, во многих инфраструктурах ограничиваются лишь периметровым МЭ типа А, игнорируя принцип эшелонированной обороны, и в случае его преодоления злоумышленник зачастую получает рабочий канал связи до всех элементов инфраструктуры.

В части правильной архитектуры демилитаризованной зоны (DMZ) необходимо упомянуть о двух моментах, на которых основывается вся полезная нагрузка этого инструмента:

  1. В DMZ должны помещаться только сервисы, необходимые к публикации;
  2. Должны быть запрещены соединения из DMZ в локальную инфраструктуру, инициализированные сервисами, располагаемыми в самой DMZ.

Несоблюдение этих принципов сводит к минимуму полезность выделения публичного сегмента как такового.
6. Использование исключительно пакетного фильтра в составе МЭ и IDS
Многие организации используют только базовый уровень фильтрации, заложенный в функционал МЭ — по портам, протоколам и IP-адресам. Использование исключительно пакетного фильтра — это устаревший подход, который не обеспечивает адекватной защиты объектов КИИ. По факту, вы ставите консьержа, который и так вам разрешает войти в те двери, которые не закрыты. В условиях усложнения атак, широкого применения шифрования и маскировки под легитимный трафик этот подход нецелесообразен и требует дополнения в виде вспомогательной инспекции трафика, например SSL - инспекция, URL-filtering, AppControl.

Использование систем обнаружения вторжений (IDS), их эффективность в предотвращении атак на инфраструктуры в настоящий момент критически снижена в силу того, что данные системы фактически не несут никакого функционала по ответным или проактивным действиям, направленным на ее остановку.
7. Отсутствие 2FA для удаленного доступа
В контексте объектов КИИ использование только классических учетных данных (логин + пароль) является значительной зоной риска, особенно для доступа к интерфейсам управления системами с привилегированным доступом.

Наличие двухфакторной аутентификации позволяет существенно снизить риски при утечке учетных данных, затруднить злоумышленнику проведение атаки и увеличить время на ее проведение. Это решение дает более высокие шансы на обнаружение несанкционированного присутствия в инфраструктуре, и как следствие — предотвратить утечку данных.
8. Процессы реагирования на инциденты документируются формально
Процесс реагирования на инциденты информационной безопасности должен учитывать все особенности инфраструктуры, а также сил и средств обеспечения безопасности. Формальный подход к описанию процесса приводит к тому, что его функции деградируют, начиная от самого обнаружения инцидента, и заканчивая его разбором и реализацией мер по дальнейшему недопущению. Наиболее ярко это проявляется при проведении тренировок или киберучений, когда описанный процесс не работает и никакого организованного противодействия атаке не осуществляется. Соответственно, в ходе реальной атаки процесс происходит аналогичным образом и злоумышленник успевает достигнуть своих целей до того, как его остановят.
9. Неполное покрытие АВЗ и (или) неполное раскрытие потенциала внедряемых средств.
Средства защиты от вредоносного программного обеспечения являются одним из наиболее эффективных в части обнаружения инструментария, используемого злоумышленником для компрометации инфраструктуры (например, средства удаленного администрирования). Неполное покрытие средствами АВЗ инфраструктуры оставляет возможность злоумышленнику беспрепятственно размещать в ней свой код для воздействия на инфраструктуру, закрепления в ней и управления.

Установленные, но неправильно сконфигурированные САВЗ (например, возможность отключения механизмов проверки пользователем, отсутствие эвристического анализа) также существенно снижают защищенность инфраструктуры.
10. Использование идентичных паролей для локальных администраторов
В объектах критической информационной инфраструктуры — это одна из самых опасных и распространенных ошибок, которая может привести к полной компрометации всей системы. Почему это является ошибкой, хотя способ довольно удобный?

Если злоумышленник получает доступ к одному хосту (например, через фишинг, утечку данных или компрометацию подрядчика), он автоматически получает и доступ ко всем системам, где используется такой же пароль. Это приводит к быстрому компрометации всей системы и снижает вероятность своевременного реагирования практически до нуля
Без комплексного подхода к построению систем защиты, включающего как технические, так и организационные меры, объекты КИИ остаются уязвимыми перед целевыми атаками и сталкиваются с повторяющимися ошибками в организации безопасности объектов. Особенно это критично в таких жизненно важных отраслях, как здравоохранение, энергетика и транспорт, промышленность.

Устранение выявленных проблем позволит повысить уровень защищенности, снизить риски компрометации и обеспечить соответствие требованиям регулятора.
Статьи