- Собственные продукты
- Услуги
- Проекты компании
- 2023 — Обеспечение энергетической безопасности Ленинградской области
- 2024.01 — Пилотный проект Континент 4 (видеоотчет)
- 2021-2023 Система защиты объектов КИИ
- 2020-2021 Информационная система усадьбы «Дивноморское»
- 2022.12 — Центральный офис Manaseer Group
- 2020 — Строительство КМС ГБУ ФХУ Мэрии Москвы
- 2020 — Телефонизация системы «ПЛАТОН» (ГК Автодор)
- 2023 — Внедрение СКУД нового поколения
- 2017, Декабрь — Оптоволоконная абонентская сеть в Выборгском районе
- 2017, Сентябрь — Кластер высокой доступности Encore Fitness
- 2017, Сентябрь — Корпоративная телефония Encore Fitness
- 01.11.2016 — Корпоративная VPN-сеть Московской Торгово-промышленной палаты
- 2016, Июль — Построение информационной структуры Encore Fitness
- Интеграция
- Информационная безопасность
- Комплексное средство защиты с поддержкой алгоритмов шифрования ГОСТ — Континент
- Управление информационной безопасностью
- Управление устройствами Apple
- BYOD и комплексная информационная безопасность мобильных устройств
- Управление инфраструктурой на базе Cisco DNA
- Межсетевые экраны NGFW от Cisco Systems
- Начальный уровень защиты компании
- Защита для малого бизнеса
- Телефония
- Информационная безопасность
- О компании
- Карьера и сотрудничество
Уязвимости в ЛВС
В последние несколько десятилетий для построения инфраструктуры объектов критической инфраструктуры, бизнес-центров, центров обработки данных использовалось высокопроизводительное оборудование Cisco Systems, Brocade, HP. Являясь флагманами отрасли, эти производители вели постоянную работу по отслеживанию появляющихся угроз безопасности.
Особое внимание уделялось раскрытию уязвимостей в программном обеспечении производимых устройств. Информация о найденных уязвимостях незамедлительно распространялась по всему миру, и производитель оперативно выпускал обновление программного обеспечения, позволяющее закрыть данную уязвимость.
Заказчики, приобретшие пакет технической поддержки, могли обновить программное обеспечение на своих устройствах, и свести к минимуму риски, связанные с данной уязвимостью.
С 2022 года упомянутые выше компании, как и множество других, прекратили свою деятельность в Российской Федерации. Техническая поддержка от производителя прекращена, а вместе с ней прекращены и обновления программного обеспечения для оборудования. При этом, производитель по-прежнему активно ищет и находит уязвимости в своих продуктах и оповещает о них открыто.
- Сложившаяся ситуация приводит к тому, что компании-владельцы импортного оборудования на территории РФ находятся в следующей ситуации:
По всему миру известно об уязвимостях программного обеспечения, найденных после прекращения поддержки оборудования в РФ; - Нет возможности защититься от угроз, связанных с уязвимостями, так как контракты на техническую поддержку больше не действуют.
Это приводит к тому, что злоумышленники могут осуществлять эксплуатацию уязвимостей столько времени, сколько им потребуется, без ограничений.
Какие же угрозы может нести в себе использование необновляемого оборудования?
Если сравнивать инфраструктурное оборудование — коммутаторы, маршрутизаторы и Wi-Fi – с информационными средствами производства предприятия – серверами, гипервизорами, прикладным программным обеспечением – функции у него окажутся несложными: передать поток трафика от источника в ЛВС к потребителю. И соответственно список непосредственных угроз, которые могут нести данные устройства компании, довольно короткий:
Саботаж сети, он же отказ в обслуживании (DoS, DDoS) – ситуация, при которой передача полезного трафика в ЛВС невозможна. Причин может быть несколько:
- Все порты коммутатора заняты передачей и приемом паразитного трафика;
- Вся процессорная мощность занята паразитными процессами, и процессор коммутатора не может выполнять свои задачи по обработке трафика. В случае больших модульных коммутаторов, в которых за обработку трафика отвечает специализированные модули – ничего не меняется; их программное обеспечение подвержено уязвимостям в той же степени.
Распространение вредоносного трафика после успешной атаки для распространения злонамеренного воздействия на все сетевые устройства.
Если же посмотреть на мировую практику атак, то ситуация окажется гораздо серьезнее. С начала прошлого года в российской практике насчитывалось несколько более-менее удачных случаев того, как атакующее воздействие на информационные системы начиналось с эксплуатации уязвимостей инфраструктурного ПО.
Отказ в обслуживании
— Около двух недель заняло полное восстановление инфраструктуры, — делится директор здания, входящего в нижегородскую компанию-оператор бизнес-центров. ЛВС двадцатиэтажного здания состояла из высокопроизводительных этажных коммутаторов Cisco Catalyst 4510 и ядра на паре коммутаторов Catalyst 6513. Многочисленные арендаторы были подключены к ЛВС здания с использованием выделенных виртуальных ЛВС (VLAN).
Первой из компаний-арендаторов об отказе сообщила фирма, предоставлявшая круглосуточные онлайн-услуги бронирования парковочных мест. Принадлежащий им веб-сервер потерял связь с базой данных, расположенной во внутренней сети.
Прибывшие по тревоге представители оператора бизнес-центра зафиксировали отсутствие конфигурации на коммутаторах ЦОД. Ее восстановили из резервной копии, и онлайн-служба арендатора заработала. Но как оказалось, это было только началом.
По мере начала рабочего дня и прибытия сотрудников на рабочие места выяснилось, что работоспособность ЛВС нарушена на всех этажах. Оказалось, что конфигурация всех сорока этажных коммутаторов теперь стала одинаковой – все они работали с настройками по умолчанию. Выстояли только два этажа, на которых не было данных коммутаторов – там было установлено оборудование ЛВС, которым управлял сам арендатор этих помещений. Остальная гигантская ЛВС на 7000 портов теперь представляла собой один большой широковещательный домен, обрабатывавший широковещательные пакеты во всю мощь процессорных модулей и специализированных портовых ASIC.
Ни одна компания-арендатор не могла воспользоваться сетью. Время простоя составило двое суток. За это время конфигурацию восстанавливали, последовательно отсоединяя каждый коммутатор.
Расследование выявило: злоумышленник, получив доступ к одному из рабочих мест арендатора, провел сетевую разведку, и запустил на коммутаторах эксплуатацию уязвимости CVE-2018-0178, которой подвержен модуль супервизора Catalyst 4510. Получив права суперпользователя, он последовательно уничтожил рабочие конфигурации коммутаторов, и запустил их с настройками по умолчанию.
Каким образом можно было избежать подобной ситуации?
Обновление ПО
Некоторые компании проводят обновления ПО своего оборудования, приобретая контракты техподдержки на оборудование, которое, находясь в России — по документам находится в другой стране. Такой метод нельзя назвать надежным. Рано или поздно, ситуация будет раскрыта, и техподдержка прекратится по причине нарушения ее условий заказчиком.
Ужесточение политик безопасности
Регулярный пересмотр политик информационной безопасности и модели угроз – это золотой стандарт в области ИБ.
Переход на отечественное оборудование
Оборудование отечественных производителей защищено от подобного рода рисков. Обновления программного обеспечения проводятся по мере обнаружения угроз безопасности, техническая поддержка доступна всегда, и ситуация, при которой производитель скажет – «это не наша проблема», невозможна.
К тому же, в Российской Федерации создана и действует глобальная система сбора и обмена информацией о компьютерных атаках – ГОССОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). Производители инфраструктурного оборудования таким образом, имеют возможность получать информацию об уязвимостях «из первых рук».
Компания Оптимал Системс сотрудничает со всеми ведущими отечественными производителями инфраструктурных решений.
Обратиться за помощью и получить консультацию можно здесь: https://optimal.systems/быстрая-связь/ .