SANS Топ20 - список основных уязвимостей Интернет

7 лет тому назад, институт SANS и национальный центр защиты инфраструктуры (NIPC) при ФБР выпустили документ, обобщивший 10 наиболее критических уязвимостей безопасности Интернет. Тысячи организаций зависят от этого списка и расширенных версий Топ20, подготовленных в последующие годы, с точки зрения выработки приоритетов по устранению наиболее опасных прорех.

Ландшафт угроз очень динамичный, что приводит к необходимости применять новейшие метрики безопасности. Только за прошлый год, виды найденных уязвимостей показали значительное отличие по сравнению с обнаруженными в прошлом. Вот некоторые наблюдения:

1. Операционные системы имеют меньше уязвимостей, которые могут привести к массовому распространению червей в Интернет. Например, в течение 2002-2005 гг, черви Windows Microsoft такие как: Blaster, Nachi, Sasser и Zotob заражали большое количество систем в Интернете. С 2005 не было никаких новых крупномасштабных атак червей, ориентирующихся на сервисы Windows. С другой стороны, уязвимость в  антивирусах, средствах резервного копирования или других приложениях, может привести к заражению червями. Наиболее известным в прошлом году был червь, использующий переполнение буфера в антивирусе компании Symantec.
2. Мы наблюдаем существенный рост в количестве уязвимостей на стороне клиента, включая уязвимости в браузерах, в офисном программном обеспечении, в медиаплеерах и в других настольных приложениях. Эти уязвимости обнаруживаются во множестве операционных систем и активно используются в больших масштабах, часто приводя к созданию ботнетов (сети компьютеров, инфицированных программой, которая общается со своих автором для создания несанкционированной рассылки, атакам на вэб-сайты, др).
3. Пользователи, которым работодатели разрешили серфинг в Интернет, стали источником главного риска для безопасности своих организаций. Несколько лет назад защищенные серверы и системные сервисы рассматривались как первичное средство для защиты организации. Сегодня не менее, а возможно и более, важно превентивно защищать пользователей, ставящих под угрозу свои компьютеры в ходе посещения  злонамеренные веб-страниц или других объектов нападения, нацеленных на клиента.
4. Уязвимости веб-приложений составляют почти половину общего количества уязвимостей, обнаруженных  в прошлом году. Эти уязвимости широко используются для  преобразования пользующихся доверием веб-сайтов в злонамеренные серверы.
5. Стандартные кофигурации многих операционных систем и сервисов продолжают оставаться слабыми с точки зрения защиты и продолжают включать пароли по умолчанию. В результате, множество систем были взломаны путем подбором пароля «в лоб» по словарю.
6. Нападавшие находят все более творческие способы получить чувствительные данные от организаций. Поэтому, теперь становится критически важным проверять любые данных на периметре организации.

SANS Топ20 –- это согласованный список уязвимостей, требующих немедленного исправления. Это  —  результат процесса, который объединил множество ведущих экспертов в области безопасности. Они работают в самых серьезных правительственных агентствах по безопасности Великобритании, США и Сингапура; ведущих поставщиков программного обеспечения в области безопасности и консалтинговых фирм; главных программных комитетах  по безопасности на базе университетов; центре шторма Интернет (SANS Storm Center) и многих других общественных организаций.

Список SANS Топ20 не является "накопительным". Мы включаем только критические уязвимости прошлого года или примерно этого периода. Если бы Вы не внесли исправления в  ваши системы в течение длительного времени, было бы разумно исправить уязвимости, внесенные в список в списке Топ 20 от 2006 г.,  так же как и подобных в предшествующих списках.

Список главных рисков этого года отличается от списков прошлых лет, которые фокусировались на весьма специфичных технической уязвимостях, которые можно было исправить настраивая  конфигурацию или применяя одну корректирующую заплатку. Поскольку сегодня атакующие двигаются очень быстро, такие точечные исправления почти немедленно устаревают. По этой причине, список главных рисков этого года больше сфокусирован на целевых областях для атакующих и там, где организации должны улучшить их процессы безопасности.

Лучшие методы для предотвращения 20 главных рисков

1. Конфигурирование систем, начиная с первого дня, для поддержания наиболее защищенного состояния, которое может позволить ваша бизнес функциональность,  и  использование автоматизированных средств для предотвращения инcталляции/деинcталляции  программного обеспечения пользователями.
2. Использование автоматизированных средств для поддержания защищенной конфигурации систем и установки программных коррекций (включая обновление антивирусного программного обеспечения).
3. Использование прокси-серверов на периметре вашей сети, конфигурируя все сетевые сервисы (HTTP, HTTPS, FTP, DNS, и т.д.) так, чтобы они проходили через прокси в ходе  получения доступа к Интернет.
4. Защита чувствительных данных посредством шифрования, классификация информации, отображаемая на матрицу управления доступом и применение автоматизированных средств предотвращения утечки информации.
5. Использование автоматизированных средств повышения осведомленности и применение санкций к тем, кто не соблюдает допустимую политику использования средств обработки информации.
6. Выполнение надлежащей сегментации демилитаризованной зоны (ДМЗ) при помощи межсетевых экранов.
7. Устранение недостатков безопасности в веб-приложениях, посредством проверки знаний программистов в области безопасности и поиска дефектов программного обеспечения.

Источник: http://www.sans.org/top20/