Проблема теневых ИТ стала более актуальной с расширением применения облачных приложений в обход их проверки на соответствие корпоративным политикам безопасности. Директор Cyberis Джемма Мур обсуждает на портале Information Age влияние теневых ИТ на безопасность всей организации.
Теневые ИТ невидимы для ИТ-службы. Они могут быть не включены в списки активов предприятия, а это значит, что они не учтенные. Эти активы также могут оказаться без назначенного владельца — либо потому, что не подходят идеально ни одному подразделению, либо не связаны с какими-либо текущими операционными приоритетами, но еще не полностью выведены из эксплуатации. Теневые ИТ обычно выходят за рамки утвержденных процессов, минуя корпоративную аутентификацию или переопределяя обычные процессы.
Любая внутренняя сеть, предоставленная самой себе, со временем будет накапливать системы и данные, которых там быть не должно. Как правило, для создания и обслуживания систем организации отводят определенное время и выделяют фиксированные средства. Известно, что если с течением времени организация не наращивает инвестиции в ресурсы, то они, как правило, тратятся на поддержку достигнутого состояния бизнеса (business as usual, BAU), а не на реализацию новых проектов или перепроектирование существующей инфраструктуры с учетом эволюции бизнеса. Когда необходимо ввести новые функции, они чаще всего реализуются в виде быстрых обновлений или в рамках существующей системы, что позволяет минимизировать необходимые инвестиции.
Из-за разрозненных решений, принимаемых отдельными лицами, с течением времени внутри предприятия накапливаются проблемы, причем каждое из этих решений, казалось бы, имеет за собой законное бизнес-обоснование. Когда устаревшие системы становятся не нужны, иногда нет времени на их вывод из эксплуатации, потому что требуется переключить внимание на разработку новой функциональности.
Несмотря на переход к новым бизнес-процессам унаследованные системы могут потребоваться для поддержки части клиентов, которые не хотят переходить на новую платформу. Развертывание нового набора средств контроля безопасности позволяет сэкономить много денег, если оно предназначено для активных производственных серверов и не затрагивает старые системы или узлы разработки. Далеко не каждое предприятие может позволить себе контролировать все, поэтому концентрируется на системах, которые являются наиболее важными для поддержания работы бизнеса в текущий момент.
В каждом из вышеперечисленных примеров есть бизнес-императив, который определяется приоритетом инноваций, фокусированием на развитии бизнеса, бюджетными ограничениями, требованиями соблюдения сроков или необходимостью иметь резервные копии. Сложность для всех организаций заключается в том, что по мере накопления технического долга каждое из этих решений со временем непреднамеренно окажет негативное влияние на устойчивость в плане кибербезопасности.
Влияние на бизнес теневой ИТ-инфраструктуры можно назвать несущественным по сравнению с другими факторами. Она не работает с критически важными активами данных и не поддерживает важные производственные процессы. Если она выйдет из строя, организация может этого и не заметить. Но теневая ИТ-инфраструктура может повлиять на безопасность других ваших систем, в некоторых случаях серьезно.
Возьмем, к примеру, типичную фишинговую атаку. Злоумышленник нацеливается на выбранную жертву и, если повезет, попытается закрепится на рабочей станции внутри инфраструктуры, где она работает. Ему нужно то, что внутри — информационные ресурсы. Это может быть интеллектуальная собственность, данные клиентов или информация о кредитных картах. С этого момента игра только начинается: злоумышленник стремится укрепить свои позиции в сети и повысить привилегии до того уровня, на котором он сможет действовать в соответствии со своими целями.
Злоумышленники всегда пытаются выстроить путь от последней точки компрометации к своей цели. Если поставить себя на место атакующего, то окажется, что теневые ИТ внутри сети — это входная точка. Часто это именно то место, где злоумышленнику проще всего повысить привилегии.
В средах с централизованной аутентификацией, таких как сеть Active Directory, компрометация одного необслуживаемого сервера почти всегда приводит к компрометации всей сети из-за доверительных взаимоотношений, которые хакер может использовать. Обычно компрометация централизованного механизма аутентификации является одним из ключевых моментов на пути к целям хакеров — если они скомпрометируют Active Directory, то смогут получить доступ к любой из систем или приложений, которые полагаются на него в качестве механизма аутентификации, и, следовательно, им откроется доступ к требуемым данным.
Если у вас есть старые системы, являющиеся серверами-участниками сети Active Directory, и они не включены в обычные циклы установки исправлений, то хакеры могут использовать их для достижения своих целей. Недокументированные веб-приложения, тестовые платформы, резервные копии данных и службы баз данных также являются точками входа, и зачастую они дают хакерам возможность получить контроль над внутренней средой Active Directory.
В сети часто остаются неучтенные файловые ресурсы, которые обычно создавались для удобства — сотрудничества в проекте, миграции системы или специальной документации. Нередко они устаревают, но содержащаяся в них информация (учетные данные, резервные копии, документация) может быть очень ценной информации для злоумышленников.
Теневая ИТ-инфраструктура — это то место, где в полной мере проявляются слабые места в безопасности корпоративной сети. Хакеры часто находят учетные записи со слабыми паролями, пользуются настройками, установленными производителями по умолчанию, эксплуатируют пароли, которые используются совместно с другими системами, или шаблоны паролей, которые хорошо известны в среде системных администраторов. Поскольку эти системы, приложения и файловые хранилища не документированы, они никогда не очищаются.
Нужно также вспомнить о конфиденциальной информации, которую пользователь хранит в неприспособленных для этих местах, а потом забывает о ней. Наверняка почти всем из нас ранее приходилось записывать пароль в текстовый файл, чтобы хранить его на рабочей станции или на файлообменнике. Некоторые, вероятно, делали резервные копии конфигурационных файлов, над которыми они работали на файлообменнике, не подозревая, что они могут содержать учетные данные базы данных или ключи для серверных компонентов.
Теневые ИТ также являются одной из причин, почему предприятию могут помочь строгие подходы к кибербезопасности, основанные на соблюдении требований. Например, если оно принимает установку исправлений в своих внутренних системах в качестве ключевого показателя эффективности (KPI) безопасности, то необходимо понимать следующее: если вы требуете установки 99% исправлений, то злоумышленник, вероятно, обнаружит серверы, которые не были пропатчены. А если KPI предполагает установку 100% исправлений, вы обязательно должны убедиться, что они стоят на каждом имеющемся сервере. Но если у вас есть сервер, который не входит в число зарегистрированных активов и, следовательно, не отслеживается в процессах управления исправлениями, он может стать точкой входа, и вы даже не будете знать об этом.
В последнее время много говорят об атаках типа «сложная постоянная угроза» (АРТ, advanced persistent threat), где особенно угрожающе звучит слово «сложная». Несмотря на то, что сложная угроза действительно опасна, нас больше должно беспокоить слово «постоянная». У предприятия могут быть тысячи серверов, должным образом подключенных к инструментам технического контроля, полностью контролируемых и с установленными исправлениями, и один недокументированный сервер, который не отслеживается и на который не ставят патчи безопасности. Вы должны понимать, что упорный хакер наверняка найдет время, чтобы найти это слабое звено. Попав в вашу сеть, он не остановится, пока не достигнет своей цели. Если он достаточно мотивирован, то изучит на предмет уязвимости тысячи серверов, просмотрит тысячи файлов или попытается получить доступ к тысячам баз данных.
Если вы хотите защититься от настойчивого и целеустремленного противника, вам нужно быть столь же настойчивым. Вы должны быть уверены, что у вас есть комплексное управление активами, и понимать, где и как именно используются системы и данные. Хакеру, стремящемуся нарушить вашу защиту, достаточно одного удачного проникновения, и вы должны быть внимательны всегда.
