7 поширених уразливостей, для яких недостатньо традиційних брандмауерів

Традиційні фаєрволи є одним з найчастіше використовуваних і надійних рівнів захисту в стратегіях кібербезпеки ОТ-мереж. Однак думка про те, що наявність брандмауера гарантує безпеку, є помилковою. Брандмауери хоч і призначені для захисту від несанкціонованого доступу, не застраховані від уразливостей.

Давайте розглянемо сім конкретних випадків, коли наявність фаєрвола сприймалася як основа стратегії безпеки, але ненавмисно ставала для суб'єктів загроз маршрутом для отримання несанкціонованого доступу до мережі.

Що таке Common Vulnerability and Exposure (CVE)?

CVE - це стандартизований ідентифікатор уразливості або нестачі програмного, апаратного або мікропрограмного забезпечення. CVE використовуються для унікальної ідентифікації та відстеження цих уразливостей, що полегшує організаціям, аналітикам безпеки та постачальникам обмін інформацією про проблеми безпеки та координацію зусиль щодо їх усунення.

7 відомих CVE, які вплинули на брандмауери

CVE-2020-3580

Опис: Виявлено вразливість в інтерфейсі веб-служб програмного забезпечення Cisco Adaptive Security Appliance (ASA) та Cisco Firepower Threat Defense (FTD).

Потенційні збитки: Ця вразливість може дозволити неавтентифікованому віддаленому зловмиснику виконувати атаки з обходом каталогу, що дозволить йому прочитати конфіденційні файли на цільовій системі.

CVE-2019-1579

Опис: Виявлено вразливість у ОС Palo Alto Networks PAN-OS до версії 8.1.10 та 9.0.0.

Потенційні збитки: Видалені зловмисники можуть використовувати цю вразливість для виконання довільних команд ОС, що може призвести до повного контролю за ураженою системою.

CVE-2018-6721

Опис: Виявлено вразливість у SonicWall's SonicOS.

Опис: Виявлено вразливість у SonicWall's SonicOS

CVE-2017-5638

Опис: Вразливість в Apache Struts 2 до версій 2.3.32 та 2.5.x до 2.5.10.1.

Потенційні збитки: Ця вразливість може дозволити неавтентифікованому віддаленому зловмиснику виконувати атаки з обходом каталогу, що дозволить йому прочитати конфіденційні файли на цільовій системі.

CVE-2016-0801

Опис: Виявлено вразливість у програмному забезпеченні Cisco ASA Software, яке працює на деяких продуктах Cisco ASA.

Потенційні збитки: Віддалені зловмисники можуть скористатися цією вразливістю для виконання довільного коду або перезавантаження системи, що потенційно може призвести до компрометації системи або простою.

CVE-2014-0160 (Heartbleed)

Опис: Серйозна вразливість у розширенні OpenSSL TLS Heartbeat Extension.

Потенційні збитки: Помилка Heartbleed дозволяла зловмисникам читати пам'ять систем, захищених уразливими версіями OpenSSL, що потенційно могло призвести до витоку конфіденційної інформації, такої як паролі, закриті ключі та багато іншого.

CVE-2012-4681

Опис: Вразливість, дотична до Oracle Java 7 до оновлення 7.

Потенційні збитки: Вразливість дозволяла зловмисникам віддалено виконати довільний код через вектори, пов'язані з API Reflection, що потенційно могло призвести до компрометації системи.

Безкомпромісна безпека OT-мереж

Традиційні фаєрволи, як і раніше, відіграють важливу роль у формуванні системи безпеки OT організацій, розуміння та усунення властивих їм уразливостей залишається вкрай важливим. Однак очевидно, що, хоча брандмауери в жодному разі не застаріли, але їх захист не є достатнім від загроз, що виникають для ОТ-мереж. Побудова стратегії глибокоешелонованого захисту з використанням односпрямованого шлюзу безпеки або діода даних у DMZ гарантує, що дані можуть проходити строго в одному напрямку. Це фізичне забезпечення означає, що дані можуть бути надіслані без загрози отримання шкідливих даних або команд у відповідь. У цьому випадку, навіть якщо існувала вразливість у програмному забезпеченні, фізична природа цих шлюзів безпеки забезпечує захист по периметру від загрози, ізолюючи вашу мережу від впливу.

OPSWAT NetWall: Шлюз безпеки нового рівня та оптичний діод

Компанія OPSWAT розробила NetWall - серію передових шлюзів безпеки та оптичних діодів, щоб захистити критично важливі OT-середовища від еволюційного ландшафту загроз. Доступні в різних конфігураціях і форм-факторах NetWall покликані спростити складні завдання мережевої безпеки, являючи собою просте у використанні, масштабоване і безпечне рішення.

У всьому світі довіряють захист критично важливих середовищ OPSWAT NetWall.

Звертайтеся за персональною консультацією стосовно рішень OPSWAT до сертифікованих фахівців Softprom.

Softprom – Value Added Distributor компанії OPSWAT.