Чем опасны «заброшки» Бизнес буквально пронизан сетью из внешних сервисов и каналов коммуникации с подрядчиками, государственными органами, клиентами и партнерами. У компаний неизбежно появляется множество «окон в мир»: основные домены и забытые субдомены, лендинги под маркетинговые акции, тестовые стенды на скорую руку, удаленный доступ и VPN, облачные папки, чат-боты, интеграционные API. Таких «окон» и «дверей» становится столько, что никто внутри уже не знает их точного количества и состояния. Такой цифровой багаж, над которым организация фактически потеряла контроль, - точка возможностей для злоумышленника. Лишний субдомен со старой, давно не обновляемой CMS, демо-стенд с дефолтными паролями, — каждый такой элемент расширяет поверхность атаки. Ревизия «фасада» - один из способов понимать реальную картину. Процесс нацелен на то, чтобы собрать полный список внешних точек, через которые помимо легитимного доступа возможен доступ несанкционированный. Планомерная работа в этом направлении позволят понять, что из наследия действительно нужно бизнесу, что следует накрыть корпоративными политиками кибербезопасности, а что вовсе имеет смысл убрать. В любом случае, итогом упражнения становится снижение вероятности развития инцидента на внешних границах ИТ-периметра. Что вообще может «смотреть наружу» Готовы поспорить: забытые по тем или иным причинам ИТ-активы есть практически в любой компании. Их набор в каждом конкретном случае уникален. Но исходя из нашего опыта рекомендуем обратить внимание на «заброшки» следующих типов: Домен и все субдомены Не только основной сайт, но и забытые микролендинги «под акцию». Источник риска: старые движки и плагины. Что проверить: сформировать полный список субдоменов, включить автомониторинг новых записей. Веб-приложения и админки CMS, панели партнеров, служебные учётки. Источники риска: дефолтные пароли, устаревшие версии. Что проверить: закрыты ли админки для стороннего взгляда, включена ли 2FA, актуальны ли патчи безопасности. Удалённый доступ VPN, веб-десктопы, консоли администрирования. Источники риска: брутфорс и уязвимости клиентов. Что проверить: список внешних точек, настройки фильтров по географическому фактору и/или IP, включить настройки только для работы по VPN. Обязательно – двухфакторная аутентификация. Облака и хранилища Общие папки, публичные ссылки. Источники риска: доступ «всем, у кого есть ссылка». Что проверить: включена ли политика private by default, настроен ли срок жизни ссылок. API Включая интеграции no-code и коннекторы. Источники риска: «вечные» токены и избыточные права. Что проверить: где используются ключи, их срок действия, минимальные привилегии, логирование вызовов. Мониторинг, бэкапы, стейджинги Часто бывает, что такие ресурсы «временно» открыты наружу. Источники риска: чувствительные данные на забытой тестовой площадке. Что проверить: доступы (только из внутренних сетей и/или через VPN), аутентификация с надежными паролями или по 2FA. Укороченные ссылки и QR Иногда они ведут не туда, куда ожидаешь. Источники риска: переадресация на фишинговые страницы. Что проверить: разворачивайте короткие URL, держите собственный короткий домен, ревизуйте активные кампании. Рекламные кабинеты и соцсети Часто связаны с пикселями, тег-менеджерами, единым доступом ко всему рекламному инвентарю по SSO. Источники риска: доступ к другим системам через захват аккаунта в том же Telegram. Что проверить: резервных админов, владельцев аккаунтов и роли других пользователей. Идея простая: составьте единый список всех этих «окон», назначьте владельца для каждого и решите три вещи — нужно ли оно бизнесу, насколько оно защищено, и как вы узнаете, если с ним что-то случится. Ревизия «фасада»: советы по быстрому старту Инвентаризация всех внешних «окон» и «дверей» — как раз то, что делает наш «КиберМонитор»: он помимо всего прочего показывает, где у компании торчит наружу то, о чем внутри давно забыли. Но «КиберМонитор» лишь обнаруживает «заброшки». А вот быстро превратить находки в управляемый список – тот самый «нулевой шаг», с которого начинается реальное управление информационной безопасностью. Мы советуем начать с составления простой таблицы. Вот что в ней должно быть: Что это (домен, сайт, VPN, API, бот) Адрес (точный URL, домен, порт) Владелец (ФИО, роль) Кто дал доступ (сотрудник или подрядчик) Зачем нужно (одной строкой про бизнес-ценность) Статус (в работе, устарело или вовсе можно удалить) Как защищено (2FA, белый список IP, только через VPN) Риск либо замечание (что смущает прямо сейчас) Дата пересмотра (когда вернуться к записи) А дальше – неумолимый в своей рутинности процесс. Во-первых, раз в квартал просматривайте таблицу целиком (15–30 минут) — что добавилось, что закрылось. Во-вторых, никакого бардака: новое «окно» нельзя открыть без строки в реестре и владельца. В-третьих, любая запись без «Зачем нужно» и «Владельца» — кандидат на закрытие. Результатом упражнения станет список того, что действительно видно снаружи, с ответственными лицами и понятными инструкциями по применению. А где есть владелец и правила пользования, там быстро исчезают случайные «окна» и вместе с ними сокращается поверхность атаки. Красные флаги Вот что следует проверить в первую очередь: Поддомены, которые вы не узнаёте. Часто это забытые лендинги под акцию или HR-кампанию — со старым движком и уязвимыми плагинами. Админские панели «нараспашку». Доступ без логина или с дефолтными логинами и паролями типа admin/admin. Скрывайте их от обнаружения «снаружи», включайте 2FA. Открытые папки по ссылке «для всех». Переводите в режим private by default, выдавайте адресные права и настраивайте срок жизни ссылок. «Сиротские» сервисы. Когда владелец уволился, и некому отвечать. Либо назначьте нового владельца, либо выключайте. Если вы руководитель: как понять, что процесс борьбы с «заброшками» пошел Тот случай, когда не нужно усложнять. Мы – за базовый набор метрик, по которым виден прогресс, понятны ответственные, есть дедлайны. Это делает ревизию «фасада» полноценным процессом, а не локальной охотой на ведьм. Количество внешних точек, динамика закрытий и перевода в защищенные. Процент записей с владельцем и датой пересмотра. Цель — 100% с ФИО и ролью, а также с указаниями по срокам: «Перепроверить до…». Число «сиротских» сервисов. Цель — устойчивый ноль. Скорость выключения сервисов из категории «Устарело». Среднее время от решения до фактического отключения — ≤ 7 дней. Заключение Инвентаризация внешнего контура - эффективный способ подсветить серые зоны корпоративных ИТ и срезать до 70–80% рисков. Короткий реестр, несколько простых правил публикации и квартальный ритуал пересмотра - и ваш конфигурация «фасада» становится если не самой лаконичной в мире, то во всяком случае понятной и предсказуемой: ясно, что видно «с улицы», кто за это отвечает и насколько быстро можно заделать лишние «окна» и «двери». А это уже некий показатель зрелости и стремления взять киберриски под контроль. Автоматическая киберзащита для вашего бизнеса Регулярный контроль чувствительных данных компании, понятные отчёты и экспертная поддержка с точными рекомендациями. запросить демо Для руководителей и владельцев бизнеса Поделиться
