Большинство поставщиков кибербезопасности подвержены риску из-за ИТ-активов, открытых в Интернете



Несмотря на весь свой опыт в данной области, многие поставщики средств кибербезопасности так же опасно подвержены интернет-угрозам, как и клиенты, для защиты которых предназначены их технологии.

Израильский поставщик систем безопасности Reposify недавно использовал свою платформу управления внешней поверхностью атаки для сканирования внешних активов и сетей 35 крупных поставщиков кибербезопасности и более 350 их дочерних компаний в течение двухнедельного периода. Интернет-сканирование Reposify в режиме 24×7 — как и у других поставщиков в этой области — предназначено для того, чтобы помочь организациям получить представление о своей поверхности атаки и уязвимости, чтобы они могли усилить или внедрить новые элементы управления там, где это необходимо.

Reposify ориентирован на внешнюю инфраструктуру, приложения и профили пользователей, говорит Ярон Тал, основатель и технический директор Reposify. Это включало все, от облачных баз данных; сайты с удаленным доступом; веб-приложения; внутренние сетевые активы, такие как портмапперы, маршрутизаторы, коммутаторы, веб-серверы, хранилища и резервные копии; и инструменты разработки, говорит он.

Сканирование компании показало, что высокий процент поставщиков кибербезопасности опасно подвержен многим из тех же угроз, от которых они должны защищать. Почти девять из десяти (86%) проанализированных компаний, занимающихся кибербезопасностью, имели по крайней мере одну конфиденциальную службу удаленного доступа, открытую для Интернета, а 80% подвергали риску сетевые активы. Шестьдесят три процента поставщиков имели бэк-офисные сети, к которым можно было напрямую получить доступ через Интернет, чуть более половины (51%) имели как минимум одну открытую базу данных, а 40% имели открытые инструменты разработки.

Reposify обнаружил, что, как и организации в других отраслях, почти все поставщики средств кибербезопасности подвержены значительному риску потери данных и компрометации из-за плохо защищенных данных в общедоступных облачных сервисах. Около 97% — другими словами, почти все — поставщиков кибербезопасности, которых Reposify просканировал за двухнедельный период, раскрыли активы данных в Amazon Internet Services and products (AWS) и другой облачной инфраструктуре. По словам Reposify, около 42% этих активов могут быть классифицированы как имеющие высокий или критический риск.

«Только одна из этих статистических данных вызывает достаточно беспокойства, — говорит Таль. «Но это сочетание указывает на то, что индустрия искренне нуждается в том, чтобы лучше практиковать то, что она проповедует», — говорит он.

Таль говорит, что результаты одинаковы для финансового, фармацевтического и игрового секторов. Аналогичные проверки, которые Reposify провел для компаний фармацевтического сектора, показали, что 92% из них имеют открытые базы данных, в то время как 55% организаций в игровой индустрии и 23% в финансовом секторе столкнулись с той же проблемой. Отличие компаний, занимающихся кибербезопасностью, в том, что они должны знать об опасностях открытых активов в Интернете, отмечает он.

Ричард Стиннон, главный аналитик IT-Harvest, говорит, что его не удивляет, что поставщики систем безопасности не уступают среднему предприятию по количеству незащищенных активов. «Как и любая организация, поставщики систем безопасности стремятся к росту и увеличению доходов, — говорит он.

Их техническое мастерство сосредоточено на инновациях и защите своих клиентов. Как и в любой компании, их сотрудники внутренней службы безопасности второстепенны по отношению к инфраструктуре и поддержке, необходимой для их операций со стороны ИТ. «Многие нанимают директоров по информационной безопасности, которые просто являются частью отдела продаж и маркетинга и на самом деле не имеют сотрудников службы безопасности», — говорит Стиннон.

Расширение цифрового следа
Большая часть проблемы связана с тем фактом, что организации, в том числе фирмы, занимающиеся кибербезопасностью, имеют большое количество активов, о которых они просто не знают и поэтому не защищают. Это может включать такие активы, как конфиденциальные данные, устройства и другие цифровые компоненты, которые поддерживают деятельность, связанную с информацией или связью, говорит Тал.

Такие тенденции, как внедрение облачных технологий, переход к гибридным рабочим местам и растущая зависимость от сторонних поставщиков ИТ и других услуг, значительно расширили цифровое присутствие и привели к тому, что многие данные и устройства не имеют контроля над безопасностью.

«Внутри неофициального периметра находятся активы, такие как теневые ИТ-сервисы, экземпляры облачных вычислений, [and] аномально долго работающие облачные экземпляры без подключенных доменов компании», — говорит он. Также риск представляют промежуточные и тестовые среды и забытые базы данных, инструменты разработки и сетевые активы, о которых команда ИТ-безопасности не знает.

Согласно данным Reposify, около 91% открытых веб-серверов в средах поставщиков кибербезопасности были либо Nginx, либо Apache. Восемьдесят восемь процентов открытых веб-серверов были доступны через OpenSSH. Другие широко используемые протоколы удаленного доступа включают службы telnet (33%) и SMB (30%). Почти три четверти (72%) баз данных поставщиков кибербезопасности, обнаруженных Reposify во время сканирования Интернета, были базами данных PostgreSQL, за ними следуют Oracledb с 50%, MySQL (28%) и Microsoft SQL (21%).

По словам Тала, выводы Reposify не предназначены для того, чтобы возложить вину на поставщиков кибербезопасности за плохие методы обеспечения безопасности. Они призваны проиллюстрировать тот факт, что никто не застрахован от риска, связанного с незащищенными активами, доступными в Интернете.

«Легко предположить, что компании, занимающиеся кибербезопасностью, будут наиболее защищены от современных киберугроз, но даже эксперты подвержены слепым пятнам, возникающим из-за расширения цифровых следов», — отмечает он.

https://cyberxhack.org/