17 ноября 2022 г.
В Positive Technologies проанализировали состояние защищенности российских компаний. В ходе пентестов 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
По данным исследования, уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким: в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.
Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений — такие векторы были выявлены во всех без исключения компаниях. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей. Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО; в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений. Для того чтобы обеспечить безопасность веб-приложений, эксперты Positive Technologies рекомендуют регулярно проводить анализ защищенности, внедрять процесс управления уязвимостями и использовать межсетевые экраны уровня приложений.
По данным исследования, при проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например к сведениям, составляющим коммерческую тайну. Киберпреступники могут продать такую информацию конкурентам компании-жертвы или использовать ее для того, чтобы потребовать выкуп за неразглашение. Помимо доступа во внутреннюю сеть компании, атака на ресурсы сетевого периметра может повлечь за собой и другие негативные последствия: например, дефейс веб-приложения, изменение информации на официальных ресурсах или размещение вредоносного кода для атаки на клиентов жертвы, получение учетных данных сотрудников и, как следствие, доступ к корпоративным ресурсам и почте с последующей рассылкой спама и фишинга.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации было возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний. В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики. В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО. Эксперты Positive Technologies рекомендуют внедрить строгую парольную политику, а также использовать двухфакторную аутентификацию для доступа к критически важным ресурсам.
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов.
«Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации, — комментирует аналитик Positive Technologies Яна Юракова. — В среднем на осуществление недопустимого события злоумышленникам потребовалось бы 10 дней. В некоторых случаях для этого даже не требовалось получать максимальные привилегии в домене. Большая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%)».
В исследовании представлена тепловая карта MITRE ATT&CK, где показаны популярные техники и подтехники, которые успешно использовались пентестерами Positive Technologies. В компании считают, что такая карта может быть особенно полезна специалистам по оперативному реагированию на инциденты и лицам, ответственным за информационную безопасность, ведь пентестеры имитируют действия реальных злоумышленников. Зная подходы преступников, можно обеспечить превентивную защиту и уделить особое внимание мониторингу и реагированию на инциденты.
Источник: Пресс-служба компании Positive Technologies