2-5 minut

Najczęstsze błędy popełniane przez administratorów – konfiguracja

Administratorzy systemów i aplikacji, podobnie jak inni użytkownicy, także popełniają błędy. Czasem wynikają one z niewiedzy, czasem zaniedbania, mogą też być skutkiem zbyt dużej liczby zadań do wykonania. Prawidłowe skonfigurowanie systemów, usług i aplikacji jest bardzo złożonym zadaniem i trudno jest zrobić to perfekcyjnie. O ile błędy użytkowników z reguły nie mają katastrofalnych skutków, to błędy administratorów mogą z większym prawdopodobieństwem prowadzić do poważnych incydentów bezpieczeństwa.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

  1. JAK WAŻNE DLA KAŻDEJ ORGANIZACJI JEST PRAWIDŁOWA KONFIGURACJA SERWERA CZY APLIKACJI
  2. JAKIE SĄ PODSTAWOWE ZASADY BEZPIECZEŃSTWA ZASOBÓW FIRMY
  3. JAKIE SKUTKI NIESIE ZE SOBĄ DOMYŚLNA KONFIGURACJA SERWERA CZY APLIKACJI
  4. CZYM GROZI NIEWYCOFANIE Z UŻYTKOWANIA STARYCH WERSJI OPROGRAMOWANIA CZY NIEPOTRZEBNYCH PLIKÓW NA SERWERACH
  5. JAKIE SĄ NAJWAŻNIEJSZE ZALECENIA DOTYCZĄCE DBANIA O PRAWIDŁOWĄ KONFIGURACJĘ SYSTEMÓW I APLIKACJI

Celem prawidłowej konfiguracji serwera czy aplikacji jest ograniczenie możliwości ataków i utrudnienie zadania napastnikom. Aby zapewnić właściwy poziom ochrony zasobów organizacji niezbędne jest przestrzeganie podstawowych zasad bezpieczeństwa takich jak udostępnianie informacji tylko tym użytkownikom, którzy ich potrzebują czy usuwanie niepotrzebnych komponentów środowiska IT. Doświadczenie pokazuje jednak, że nie jest to proste.

Domyślne konfiguracje

Mimo dużego postępu w tym obszarze nadal wielu dostawców usług czy oprogramowania nie zapewnia domyślnie ich bezpiecznej konfiguracji. Prawidłowe ustawienie zasad dostępu pozostaje zadaniem klienta, który nie zawsze potrafi mu podołać, co powoduje tysiące incydentów wycieków informacji rocznie.

Jednym z najczęściej spotykanych scenariuszy jest udostępnienie całemu światu repozytoriów danych w usługach chmurowych takich jak np. AWS. Taki błąd był powodem ujawnienia danych polskiej firmy pośredniczącej w rozliczaniu zdarzeń ubezpieczeniowych, ale także amerykańskich firm zbrojeniowych czy urzędów. Z kolei udostępnianie w sieci baz MongoDB w domyślnej konfiguracji bez hasła zaowocowało masowymi atakami ransomware, gdzie napastnicy szyfrowali lub usuwali dane i żądali okupu za ich odzyskanie.

Także domyślna konfiguracja bramek VoIP stała za stratami idącymi w miliony euro, gdy przestępcy wykorzystali cudze urządzenia do generowania wysokopłatnych połączeń. Skanowanie sieci pod kątem podobnych błędów jest ulubionym zajęciem wielu włamywaczy.

Zapomniane serwery, usługi i systemy

O ile w przypadku uruchamiania lub aktualizacji nowych usług czy systemów z reguły ktoś pilnuje, czy już wystartowały, o tyle ich wycofanie z użytkowania często przebiega bez nadzoru i nikomu nie zależy na ich ostatecznym wyłączeniu. Mogą temu zaradzić zarówno dobre procedury jak i dedykowane narzędzia wspierające proces inwentaryzacji zasobów IT.

Podobny problem dotyczy starych wersji oprogramowania i niepotrzebnych plików na serwerach. W trakcie testów penetracyjnych nie raz można znaleźć na serwerze WWW kopie bazy danych sprzed kilku lub kilkunastu miesięcy, którą administrator wystawił do pobrania, a po pobraniu zapomniał usunąć.

Innym często spotykanym problemem jest publiczne udostępnianie testowych lub deweloperskich wersji aplikacji. Taki incydent dotknął m.in. system wyborczy w Polsce kilka lat temu. Z kolei włączona rozszerzona diagnostyka błędów, pomocna w ustalaniu przyczyn problemów technicznych, może pomóc włamywaczom w uzyskaniu dostępu do informacji dla nich nieprzeznaczonych. Taki incydent miał miejsce w popularnym polskim serwisie Kinoman, gdzie komunikat o błędzie bazy danych ujawniał login i hasło jej administratora. Warto tu zaznaczyć, że problem zarządzania hasłami pomagają rozwiązać dedykowane narzędzia, wymuszające przestrzeganie polityk bezpieczeństwa w tym obszarze.

Zarządzanie dostępem

Przestępcy chętnie wykorzystują także nieprawidłowo skonfigurowane prawa dostępu. Brak ograniczeń przeciwko próbom odgadywania hasła znacząco ułatwia ataki typu bruteforce, gdzie włamywacze testują różne kombinacje loginów i haseł, aż znajdą prawidłowe. Listy najpopularniejszych haseł są publicznie dostępne w internecie i przestępcy często z nich korzystają.

Z kolei w trakcie prób ustalania przyczyn problemów z łącznością sieciową dość popularnym krokiem jest łagodzenie reguł firewalla, aż do całkowitego przepuszczenia ruchu bez żadnej kontroli. Niestety zdarza się, że taka konfiguracja pozostaje na urządzeniu dłużej, niż jest to potrzebne, ułatwiając zadanie przestępcom. Taki incydent przydarzył się nawet jednemu z producentów firewalli, a problemy z właściwą konfiguracją reguł zabezpieczenia sieci leżały u podstaw niedawnej poważnej awarii systemów na lotnisku Okęcie.

Programiści kontra administratorzy

Problemów z konfiguracją serwerów czy aplikacji nie łagodzą częste konflikty na linii programiści – administratorzy. Szybkie tempo rozwoju aplikacji, często przy użyciu gotowych modułów dostępnych w sieci, trudno pogodzić z zapisami procedur zarządzania systemami. Jeśli obie strony nie potrafią dojść do porozumienia, często kończy się to powstaniem „alternatywnego IT”, bez oficjalnego wsparcia działów do tego dedykowanych, co nie wpływa pozytywnie na poziom bezpieczeństwa całej organizacji.

Lepiej zapobiegać zawczasu

Jak przeciwdziałać podobnym problemom? Bez wątpienia właściwie skonstruowane i wdrożone procedury są podstawowym elementem bezpieczeństwa. Z uwagi jednak na stopień skomplikowania problemu warto także zapewnić mechanizmy monitorowania sieci i nietypowych sytuacji takie jak Security Operations Center oraz mechanizmy prewencji, takie jak odpowiednio skonfigurowane i zarządzanie firewalle sieciowe oraz aplikacyjne. W ocenie stanu rzeczy pomogą także testy penetracyjne.

Podsumowanie

Przypomnijmy najważniejsze zalecenia dotyczące dbania o prawidłową konfigurację systemów i aplikacji:

  • należy zapewnić przegląd wszystkich parametrów konfiguracji przed dopuszczeniem usługi, aplikacji czy systemu do eksploatacji,
  • warto zadbać o systematyczne wyłączanie i usuwanie niepotrzebnych systemów, usług czy aplikacji,
  • konfiguracja reguł dostępu do systemów musi być regularnie przeglądana i weryfikowana,
  • dobrze jest zatroszczyć się o prawidłową współpracę pomiędzy poszczególnymi komórkami IT,
  • bezpieczeństwo infrastruktury musi być regularnie monitorowane i testowane.
Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 01.01.2019

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.