Риски и потенциальные угрозы потери информации в компьютерных системах и технологиях на платформе

Введение
Современный ландшафт угроз безопасности является одной из агрессивной и ненадежной угрозы. До некоторых пор большинство злоумышленников совершали атаки, стремясь получить всеобщее признание или испытать острые ощущения от временного нарушения работы систем. С тех пор попытки злоумышленника сместились на получение денег. Современные атаки все чаще направлены на крупномасштабное хищение интеллектуальной собственности и снижение производительности целевых систем, ведущее к убыткам. В последнее время также начал развиваться кибертерроризм, представляющий угрозу безопасности отдельных людей, компаний и национальных интересов по всему миру. Как правило, такие злоумышленники — высококвалифицированные специалисты и эксперты по вопросам безопасности. Некоторые из них работают на государства с внушительным бюджетом и практически неограниченными людскими ресурсами. Такие угрозы требуют соответствующего подхода к защите.
Чтобы учесть описанные условия, в версию Windows 10 был включен целый ряд средств защиты, благодаря которым находить и использовать многие уязвимости программного обеспечения стало сложнее (и дороже). [1] Потеря данных (Data Loss) — повреждение или утрата информации в результате влияния различных факторов, случайных или намеренных действий. Потерять данные можно во время работы с ними, а также при хранении информации на компьютере, сервере или на массивах RAID. Потеря данных (Data Loss) может происходить в результате: нарушения целостности информации (сбой программного обеспечения);неисправности оборудования. Нарушение целостности информации означает повреждение данных, в результате которого невозможно прочитать/скопировать информацию без выполнения процедуры восстановления. При нарушении целостности возникает риск потери всех данных или их части, а также угроза для работоспособности всей компьютерной системы. [2]

1 Риски и потенциальные угрозы потери информации в компьютерных системах и технологиях на платформе WINDOWS
Особенности операционных систем с истекшим сроком службы
Современный мир технологий развивается стремительно, и компании постоянно обновляют свое программное обеспечение. Это справедливо и для операционных систем – производители регулярно выпускают новые версии операционной системы (ОС), что означает, что только что введенная в эксплуатацию ОС может быстро устареть.В какой-то момент каждая часть программного обеспечения, включая операционные системы, достигает точки, называемой концом срока службы. Чтобы ограничить ресурсы, затрачиваемые на поддержку ОС, поставщики устанавливают строгие сроки окончания срока службы операционной системы, после чего официальная поддержка, включая исправления уязвимостей в системе безопасности, прекращается.
Полагаться на операционную систему с истекшим сроком службы (EOL) - большой риск, но, тем не менее, предприятия часто продолжают пользоваться операционной системы, которая больше не поддерживается, просто потому, что альтернатива обновления или перехода на другую ОС слишком дорогая или слишком неудобная.
Показательный пример: WannaCry и Windows с истекшим сроком службы. Операционные системы с истекшим сроком службы открывают возможности для киберпреступников. ОС, которая больше не поддерживается, будет иметь известные уязвимости, и поскольку поддержка закончилась, поставщик не будет выпускать исправления для этих известных уязвимостей.
Злоумышленник может использовать известную уязвимость для атаки. Компании, которые полагаются на операционную систему с истекшим сроком службы, могут столкнуться с атаками вредоносных программ, которые приводят к сбоям в обслуживании и потере данных.Это то, что произошло в мае 2017 года. Как сообщает TripWire, произошла масштабная кибератака, в ходе которой эксплойт WannaCry был использован для атаки на сотни тысяч компаний, которые все еще использовали Windows XP – операционную систему, срок службы которой истек в 2014 году.Компании, которые все еще использовали Windows XP, не получали бюллетени безопасности Microsoft и никогда не устанавливали патч, который мог бы исправить уязвимость Windows месячной давности, которая называлась EternalBlue. Ситуация была настолько плохой, что Microsoft выпустила экстренное исправление для Windows XP, несмотря на то, что срок службы Windows XP истек.
Это всего лишь один пример уязвимости в операционной системе EOL, которая была успешно использована.[3]

Вирусы
Защитник Windows недостаточно способен (сам по себе) отразить все вредоносные атаки, которые проникают в систему, и особенно те, которые незаметно передаются с сомнительных веб-сайтов на компьютер с помощью обходных атак. У Microsoft есть самопровозглашенный продукт для защиты от вредоносных программ, который был признан независимыми лабораторными тестами некомпетентным. И опять же, проблема только усугубляется, если вы рассчитываете использовать Edge для своих интернет-экскурсий. С другой стороны, Google Chrome довольно искусно блокирует атаки с помощью своей системы блокировки вредоносных веб-сайтов. Но это всего лишь вторичный уровень защиты. То, к чему стоит стремиться, - это иметь мощный антивирусный продукт против вредоносных угроз.
Одним из преимуществ защитника Windows является то, что он заменяет устаревшие продукты безопасности и заменяет себя по умолчанию для консолидации элементов безопасности. Кроме того, он автоматически удаляет устаревшие программы, которые могут быть использованы вирусами в качестве возможного связующего звена для проникновения на компьютер. Но, несмотря на самые благие намерения, защитник Windows отстает по производительности и может сделать только так много, что подтверждается отзывами ниже среднего, полученными в ходе независимых лабораторных тестов.
Существует множество бесплатных антивирусных программ, которые не уступают платным и прекрасно справляются с атаками вредоносных программ.

Административные привилегии
Самый большой недостаток Microsoft Windows: административные привилегии.
Поскольку для выполнения подавляющего большинства вредоносных программ и атак требуются привилегии, что также может означать использование бокового перемещения и повышения привилегий для получения необходимого уровня доступа, принцип наименьших привилегий (PoLP) обеспечивает значительную степень киберзащиты. Наличие PoLP означает, что код злоумышленника будет выполняться только в контексте целевого пользователя, что представляет гораздо меньший риск для обычного пользователя без административных привилегий, чем для локального администратора. Это представляет собой самую большую стратегическую корректировку, которую организация может внести в управление учетными записями Windows для конечных пользователей, чтобы смягчить эту постоянную проблему.
Административные привилегии не всегда являются чем–то плохим - проблема возникает там, где организации не могут обеспечить детальный контроль над своими правами администратора. Возвращаясь к самым ранним версиям Windows со встроенной сетью, права администратора позволяли выполнять любые действия в сети и получать к ним доступ. В то время сама операционная система не имела встроенной защиты для контроля детального доступа и обеспечения доступа на основе ролей и разделения обязанностей. В те времена большинство ИТ-специалистов просто предоставляли всем административные права на свою локальную систему, потому что это был самый простой способ обеспечить каждому разный уровень доступа, необходимый для выполнения его работы. Риски, связанные с предоставлением общих прав администратора, не были хорошо поняты, и основная функция локального администратора была принята почти повсеместно.
Отсутствие детального контроля над административными привилегиями сегодня остается проблемой для многих организаций. Это особенно верно для сред, которые пытались снизить риск, выдавая два типа учетных данных: один в качестве обычного пользователя для повседневной работы и один в качестве администратора для задач, требующих повышенных привилегий. Когда эти два устройства работают вместе на одной рабочей станции, риск для окружающей среды высок из-за атак с использованием памяти, таких как передача хэша, и инструментов для кражи паролей, которые могут похищать секреты из активных процессов.
В настоящее время инновации операционной системы все еще стоят за угрозой безопасности.Как только приложение, вредоносная программа или пользователь получают права администратора, они могут эффективно делать с системой все, что угодно. Представьте себе, что происходит, когда учетная запись суперпользователя взломана. Субъект угрозы может иметь неограниченный доступ ко всей сети до тех пор, пока организация не обнаружит нарушение. Сфера действия угрозы еще больше расширяется, если эти учетные данные действительны в нескольких системах.
Даже инструменты, предназначенные для защиты от административных прав, могут быть сорваны при некотором творческом подходе и взломе с использованием бокового перемещения и эксплуатации уязвимостей (т.е. повышения привилегий).Журнал событий Windows5 мая 2022 года компания «Лаборатория Касперского» сообщила, что ее эксперты обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом.
Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.[4]Уязвимость «нулевого дня» (0-day)13 сентября 2021 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) РФ, созданный по указу ФСБ, сообщил о существовании серьезной уязвимости в операционных системах Windows.Речь идет о так называемой уязвимости «нулевого дня» (0-day). Она связана с некорректной проверкой входных данных в компоненте MSHTML. Брешь в ПО позволяет злоумышленнику удаленно выполнить произвольный код в целевой системе посредством открытия пользователем специально сформированного документа Microsoft Office.Как сообщает «Интерфакс» со ссылкой на заявление НКЦКИ, программный недостаток актуален для Microsoft Windows версий 7, 8.1, 10 и Microsoft Windows Server версий 2008, 2012, 2016, 2019, 2022.Отмечается, что с учетом отсутствия официальных исправлений от компании Microsoft создаются предпосылки для массового заражения компьютеров пользователей различными вредоносными программами. Имеются факты о доставке таким образом вредоносного приложения Cobalt Strike, которое в 2016 году использовалось в серии атак на российские банки, сообщили в НКЦКИ.В ИТ-структуре ФСБ рекомендует временно отключить возможность установки компонентов ActiveX в операционной системе и предварительный просмотр документов в Windows Explorer, обновить антивирусные средства, при получении электронных писем с файлами проверять их антивирусом, а также проверить в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20210910.csv".Как пишет издание BleepingComputer, киберпреступники поделились о уязвимостью Windows на одном из хакерских форумов. Вся информация представлена в таком виде, что любому желающему не составит большого труда задействовать эксплойт в собственных атаках. Специалисты из BleepingComputer, например, продемонстрировали это за 15 минут.[4]

Статистика угроз сегодня
Рассмотрим некоторые статистические данные, рассказывающие какие ОС самые уязвимые, какие более безопасные, и какие именно уязвимости в каждой из них были замечены чаще всего. Таблица 1- Статистика уязвимостей разных версий WindowsНазвание ОСПроизводительОбщее число уязвимостей за 2017 годОбщее число уязвимостей за 2016 годОбщее число уязвимостей за все время ведения статистикиWindows 10Microsoft226172451Windows Server 2016Microsoft21239251Windows Server 2008Microsoft212133981Windows Server 2012Microsoft201156606Windows 7Microsoft197134838Windows 8.1Microsoft192154542Windows Rt 8.1Microsoft124139438Windows VistaMicrosoft64125814Прежде всего следует отметить тот факт, что данная статистика может быть интерпретирована по-разному, так как есть несколько расхождений с исходными данными участников — прежде всего это их возраст (какая-то ОС существует 5 лет, какая-то всего год), потому общие данные за весь период их существования не стоит брать в рассмотрение при сравнительном анализе, а учитывать как данные общего характера. Хотя, с другой стороны, когда у молодой ОС уязвимостей больше, чем у существующей многие годы, это наталкивает на определенные мысли.По данным за 2017 год Windows 10 содержит 255 уязвимостей, в то время как у ее знаменитого соперника macOS — 236.Рисунок 1- Уязвимости Windows 10 в относительном соотношении [5]
В прошлом Microsoft Windows позволяла своим проблемам безопасности Windows отставать от проблем своих операционных систем. Однако за последние годы система безопасности Windows значительно повзрослела, чтобы лучше решать некоторые из этих проблем. Согласно данным, собранным в отчете BeyondTrust об уязвимостях Microsoft за 2022 год:количество уязвимостей в операционных системах Windows сократилось до 507 (с 907 в 2020 году);количество уязвимостей Windows сократилось на 40% в годовом исчислении;количество уязвимостей Windows Server снизилось на 41% в годовом исчислении;количество критических уязвимостей Windows сократилось на 50% в годовом исчислении.
Тот факт, что количество критических уязвимостей Windows за последние пять лет сократилось вдвое, отражает продолжающиеся инвестиции Microsoft в создание более безопасной операционной системы. Однако общая картина уязвимости остается неоднозначной, поскольку причины снижения уязвимости остаются несколько неясными. Это снижение может быть результатом:
- улучшенные методы обеспечения безопасности и кодирования;
- конец срока службы таких продуктов, как Windows 7;
- перенос сервисов в облако;или, скорее всего, комбинация всех трех.
Хотя большинство уязвимостей Microsoft Windows на 2022 год указывают на высокие риски, связанные с локальными технологиями, тот факт, что большинство организаций переходят в облако, представляет собой заметное потенциальное изменение структуры угроз. Переход на облако потенциально может повысить безопасность организации, предоставляя более эффективный способ снижения рисков и снимая бремя устранения неполадок с команды ИТ-безопасности. Microsoft устранила 52 уязвимости повышения привилегий исправлений. Об этом стало известно 13 июля 2022 года.Компания исправила 1 часто используемую уязвимость нулевого дня и 84 других ошибок. 4 из 84 уязвимостей классифицируются как «критические», поскольку они допускают удаленное выполнение кода.
Количество ошибок в каждой категории уязвимостей указано ниже:
- 52 уязвимости повышения привилегий;
- 4 уязвимости обхода функций безопасности;
- 12 RCE-уязвимостей;
- 11 уязвимостей раскрытия информации;
- 5 уязвимостей отказа в обслуживании (DoS).[4]

В отчете об уязвимостях Microsoft за 2022 год Рассел Смит, редакционный директор Petri IT Knowledgebase, подчеркивает, что “крайне важно, чтобы организации продолжали тщательно управлять использованием административных привилегий для защиты от уязвимостей в программном обеспечении Microsoft”. Смит добавляет, что, “несмотря на важность работы со стандартными привилегиями пользователя для защиты систем и данные, которыми сегодня по-прежнему невозможно управлять в Windows, организациям необходимо управлять привилегированным доступом к конечным точкам гибким и безопасным способом, который снижает риски для бизнеса, позволяя сотрудникам выполнять свою работу”.

Заключение
Вывод: внедряйте новые технологии с помощью инструментов, которые будут уделять приоритетное внимание безопасности. Не нужно бояться внедрения новых технологий или появления инновационных функций — до тех пор, пока у есть инструменты и решения, которые могут помочь определить приоритеты безопасности. Управление административными правами с помощью целостного подхода позволит снизить риски безопасности Windows access. И если используются многие функции (например, стандартную учетную запись пользователя, уже встроенную в операционную систему), тогда действительно можно позволить инновациям догнать безопасность – по крайней мере, с точки зрения уязвимостей, вредоносных программ и эксплойтов.Также, важно своевременно обновлять ОС и ее компоненты.

Список использованных источников
Устранение рисков с помощью функций безопасности Windows 10 [Электронный ресурс] URL: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/overview-of-threat-mitigations-in-windows-10#threat-landscape (дата обращения:01.09.22)Потеря данных (Data Loss) [Электронный ресурс] URL: https://www.anti-malware.ru/threats/data-loss (дата обращения:01.09.22)The Risks of Running an End Of Life OS – And How To Manage It [Электронный ресурс] URL: https://tuxcare.com/the-risks-of-running-an-end-of-life-os-and-how-to-manage-it/ (дата обращения:01.09.22)Безопасность Windows [Электронный ресурс] URL: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_Windows?ysclid=l7iowfknq390618945 (дата обращения:01.09.22)Уязвимости операционных систем. Часть I [Электронный ресурс] URL: https://habr.com/ru/company/ua-hosting/blog/407979/?ysclid=l7iowvuum2294341191 (дата обращения:01.09.22)