Продукты безопасности идут в атаку
19-09-2011
Суровая реальность заключается в том, что продуктам безопасности необходимо пройти такую же проверку, как и любому другому программному обеспечению или устройству, предполагаемому к внедрению.
Предприятия не должны слепо внедрять обновления в безопасности. Подобно тому, как они делают это с продуктами, не связанными с обеспечением безопасности, ИТ-отделы должны оценивать риск, связанный с новым инструментом безопасности, определять испытывался ли код безопасности в ходе его разработки и проводить проверку на проникновение в тестовом окружении.
В конце 2006 червь "Big Yellow" изрядно напугал пользователей. Атакующие могли получить полный удаленный доступ с правами администратора к системе под управлением Windows с уязвимой версией антивируса Symantec.
Затем червь подключал систему к ботнету, позволяя злоумышленникам удаленно контролировать зараженный компьютер.
Будь проведена оценка рисков, организации могли бы больше знать о том, как лучше заблокировать продукт от воздействия извне. Порты, использовавшиеся для удаленного контроля системы, могли быть привязаны исключительно к серверам управления, что значительно снизило бы эффект от вируса.
Многие предприятия просто забывают поинтересоваться у своих поставщиков средств защиты, следуют ли они практикам безопасного кодирования. Испытание на проникновение еще на этапе оценки продукта или же в небольшой тестовой инсталляции также может выявить проблемы безопасности, которые могли быть пропущены на этапе оценки рисков. Установка продукта может потребовать изменений в управлении правами доступа, которые в итоге приведут к ослаблению текущего окружения.
Сейчас многие решения по безопасности предоставляют веб-интерфейс для управления, который также может стать причиной бреши. Компрометация интерфейса управления может подвергнуть атаке всю систему. Интерфейс может быть подвержен межсайтовому скриптингу (XSS), подделке запросов (CSRF), SQL-инъекциям, или неавторизированному удаленному запуску команд – все это уязвимости, которые вы не будете рады видеть в веб-интерфесе продукта по обеспечению безопасности (как и в любом другом вашем веб-приложении). Иногда причиной уязвимости является внутренний веб-сервер, идущий в комплекте с продуктом обеспечения безопасности.
Никто не ожидает, что продукт, обеспечивающий безопасность, будет содержать уязвимости, но такое случается. Оценка рисков, правильно заданные вопросы и тестирование на проникновение могут помочь уменьшить, если не предотвратить, огромный урон от уязвимости. Не стоит забывать, что вы платите деньги за продукт, который должен помочь обезопасить ваше окружение, а не наоборот. Примите соответствующие меры предосторожности и убедитесь, что он справляется со своей задачей.
Источник:
