Угроза использования информации идентификации/аутентификации, заданной по умолчанию

Угроза заключается в возможности прохождения нарушителем процедуры авторизации на основе полученной из открытых источников
или от информационного сервиса идентификационной и аутентификационной информации, соответствующей учётной записи «по умолчанию» дискредитируемого объекта защиты. Данная угроза обусловлена тем, что во множестве программных и программно-аппаратных средств производителями предусмотрены учётные записи «по умолчанию», предназначенные для первичного входа в систему или тем, что при прохождении на информационном сервисе процедуры регистрации механизм автоматической генерации паролей выдает одинаковые или сходные пароли пользователям с похожими логинами. Более того, на многих устройствах. идентификационная и аутентификационная информация может быть возвращена к заданной «по умолчанию» после проведения аппаратного сброса параметров системы (функция Reset).

Реализация данной угрозы возможна при одном из следующих условий:
наличие у нарушителя сведений о производителе/модели объекта защиты и наличие в открытых источниках сведений об идентификационной и аутентификационной информации, соответствующей учётной записи «по умолчанию» для объекта защиты;
успешное завершение нарушителем процедуры выявления данной информации в ходе анализа программного кода дискредитируемого объекта защиты
наличие у нарушителя сведений о логине используемом при регистрации атакуемым пользователем.

• Внутренний нарушитель с низким потенциалом
• Внешний нарушитель со средним потенциалом

• Нарушение конфиденциальности
• Нарушение целостности
• Нарушение доступности

Угроза использования информации идентификации/аутентификации, заданной по умолчанию (default credentials), является крайне распространенной и опасной уязвимостью, поскольку злоумышленники могут использовать эти учетные данные для получения несанкционированного доступа к системам, приложениям и устройствам. Эта угроза особенно актуальна для устройств IoT, сетевого оборудования, веб-приложений и баз данных, где часто используются стандартные логины и пароли, которые многие пользователи не меняют после установки.

Для минимизации данной угрозы необходимо принять следующие меры:

1. Организационные меры:

• Политика безопасности: Разработать и внедрить строгую политику безопасности, которая требует:
  • Смены учетных данных по умолчанию при первом входе в систему.
  • Использования надежных паролей, соответствующих требованиям сложности и длины.
  • Регулярной смены паролей.
  • Отключения неиспользуемых учетных записей.
  • Регулярного аудита учетных записей и прав доступа.
• Обучение персонала: Обучить персонал основам безопасности и правилам защиты от угроз, связанных с учетными данными по умолчанию.
• Процедуры реагирования на инциденты: Разработать и поддерживать в актуальном состоянии план реагирования на инциденты безопасности, связанные с компрометацией учетных данных.
• Регулярная проверка на наличие стандартных учетных данных: Проводить регулярные сканирования и проверки на наличие стандартных учетных данных, особенно после развертывания новых систем или устройств.

2. Технические меры (на стороне разработчика/поставщика):

• Запрет учетных данных по умолчанию: Исключить использование учетных данных по умолчанию в разрабатываемых продуктах.
• Принудительная смена пароля: Реализовать принудительную смену пароля при первом входе в систему.
• Генерация случайных паролей: Генерировать случайные пароли по умолчанию для каждого устройства или приложения.
• Минимальные требования к паролю: Обеспечить соблюдение минимальных требований к сложности и длине пароля.
• Двухфакторная аутентификация (2FA): Внедрить поддержку двухфакторной аутентификации (например, с использованием SMS, OTP или аппаратных токенов).
• Защита от перебора паролей: Реализовать механизмы защиты от перебора паролей (например, блокировка учетной записи после нескольких неудачных попыток входа).
• Запрет использования общих учетных записей: Избегать использования общих учетных записей и требовать, чтобы каждый пользователь имел собственную учетную запись.
• Безопасное хранение паролей: Хранить пароли в зашифрованном виде с использованием надежных алгоритмов хеширования и солей.

3. Технические меры (на стороне пользователя/администратора):

• Смена учетных данных по умолчанию: Незамедлительно сменить учетные данные по умолчанию на надежные пароли.
• Надежные пароли: Использовать сложные и уникальные пароли для всех учетных записей.
• Менеджеры паролей: Использовать менеджеры паролей для безопасного хранения и управления паролями.
• Регулярная смена паролей: Регулярно менять пароли.
• Двухфакторная аутентификация (2FA): Включить 2FA везде, где это возможно.
• Отключение неиспользуемых учетных записей: Отключить все неиспользуемые учетные записи.
• Блокировка учетных записей: Настроить автоматическую блокировку учетных записей после нескольких неудачных попыток входа.
• Мониторинг активности учетных записей: Отслеживать активность учетных записей и выявлять подозрительное поведение.
• Системы обнаружения вторжений (IDS/IPS): Использовать IDS/IPS для обнаружения попыток перебора паролей и других атак, направленных на компрометацию учетных данных.

4. Меры для IoT-устройств:

• Изоляция сети: Сегментировать сеть, чтобы изолировать IoT-устройства от других устройств и систем.
• Микросегментация: Применять микросегментацию для ограничения доступа к ресурсам на основе принципа “нулевого доверия” (Zero Trust).
• Обновление прошивки: Регулярно обновлять прошивку IoT-устройств, чтобы устранять уязвимости.
• Управление удаленным доступом: Ограничить удаленный доступ к IoT-устройствам только авторизованным пользователям.
• Отключение ненужных сервисов: Отключить все ненужные сервисы и функции на IoT-устройствах.
• Мониторинг трафика: Мониторить сетевой трафик IoT-устройств для выявления подозрительной активности.

5. Использование инструментов и технологий:

• Парольные политики: Использовать инструменты управления парольными политиками для обеспечения соблюдения требований к сложности и смене паролей.
• Инструменты сканирования уязвимостей: Использовать инструменты сканирования уязвимостей для обнаружения систем и устройств, использующих учетные данные по умолчанию.
• SIEM (Security Information and Event Management): Использовать SIEM для сбора и анализа данных безопасности из различных источников, включая журналы аутентификации.
• Threat intelligence: Использовать данные Threat intelligence для обнаружения известных атак, использующих учетные данные по умолчанию.

Примеры атак:

• Перебор паролей: Злоумышленники используют списки распространенных паролей и логинов по умолчанию для перебора учетных данных.
• Ботнеты: Создание ботнетов из скомпрометированных IoT-устройств для проведения DDoS-атак или рассылки спама.
• Взлом веб-камер: Получение несанкционированного доступа к веб-камерам для шпионажа.
• Кража данных: Получение несанкционированного доступа к конфиденциальным данным, хранящимся на скомпрометированных системах.
• Шифровальщики (Ransomware): Использование скомпрометированных учетных данных для распространения шифровальщиков.

Ключевые моменты:

• Проактивный подход: Необходимо проявлять проактивный подход к выявлению и устранению угроз, связанных с учетными данными по умолчанию.
• Постоянный мониторинг: Необходим постоянный мониторинг активности учетных записей и анализ журналов для выявления подозрительной активности.
• Обучение пользователей: Обучение пользователей является критически важным для защиты от социальной инженерии и других атак, направленных на компрометацию учетных данных.
• Своевременные обновления: Необходимо своевременно устанавливать обновления безопасности для устранения уязвимостей.

Внедрение этих мер позволит значительно снизить риск использования информации идентификации/аутентификации, заданной по умолчанию, и защитить ваши системы и данные от несанкционированного доступа.