Крупные компании не защищены даже от неквалифицированных киберпреступников

Крупные компании не защищены даже от неквалифицированных киберпреступников

Компания Positive Technologies представила результаты исследования защищенности корпоративных IT-систем ключевых коммерческих и государственных организаций. Несмотря на усиленное внимание к проблемам безопасности на предприятиях такого уровня, итоговые результаты оказались неутешительными: недостаточная защита периметра, уязвимые ресурсы внутренней сети и плохое понимание сотрудниками основ информационной безопасности.

Отчет основан на статистике, полученной в ходе работ по тестированию на проникновение, которые велись в 2011 и 2012 годах. В процессе выполнения пентестов эксперты моделируют действия атакующего, играя роль взломщика, что позволяет на практике оценить эффективность используемых мер защиты информации.

Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»). Попавшие в отчет корпоративные системы насчитывают тысячи узлов и зачастую распределены территориально по десяткам филиалов.

Корпоративные сети плохо защищены от атак из интернета

В среднем только одна из четырех IT-систем смогла противостоять санкционированным попыткам вторжения во внутреннюю сеть. Другими словами, потенциальный злоумышленник, атакующий из любой точки земного шара, имеет очень высокие шансы получить доступ к внутренним ресурсам среднестатистической корпорации. В отчете также сообщается о наличии настоящих следов взлома, обнаруженных специалистами Positive Technologies в 15% протестированных систем.

Высокая квалификация нападающему не требуется

Для преодоления защиты сетевого периметра внешнему атакующему, как правило, достаточно осуществить эксплуатацию трех различных уязвимостей, причем 37% атак могут быть реализованы усилиями скрипт-кидди — взломщиков низкой квалификации.

Почти в половине случаев проникновение во внутреннюю сеть основывается на использовании недостатков парольной защиты — на подборе словарных паролей и паролей, заданных производителями по умолчанию. Данная проблема является самой распространенной, она была обнаружена на сетевом периметре 79% исследованных систем, при этом в 74% случаев словарные пароли использовались для привилегированных учетных записей. 

В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений: такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Наиболее полный обзор подобных проблем безопасности приведен в отчете «Статистика уязвимостей веб-приложений (2012 г.)».

Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.

И снова про обновления безопасности

Каждая пятая система, защиту сетевого периметра которой удалось преодолеть, оказалась незащищённой в силу различных недостатков, связанных с отсутствием актуальных обновлений безопасности. Уязвимости среднего и высокого уровня риска, связанные с отсутствием патчей, были выявлены в 65% систем (критические недостатки составили почти половину). Средний возраст неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет 51 месяц, то есть более 4 лет. В одном из государственных учреждений обновления не устанавливались в течение более чем 7 лет, в результате было обнаружено множество уязвимостей, в том числе критических, позволяющих выполнять произвольный код на системе.

Парализовать работу компании изнутри — это просто

Получив доступ к узлам внутренней сети, злоумышленник обычно стремится к получению более широких привилегий в критически важных системах. В каждом третьем случае (32%) успешного преодоления защиты периметра исследователи Positive Technologies имели возможность развить атаку и получить полный контроль над всей инфраструктурой предприятия. В реальных условиях подобные инциденты могли бы иметь самые серьезные последствия, вплоть до остановки операционной деятельности, нарушения производственного цикла, потери конфиденциальной информации и финансовых средств, террористической угрозы.

Нарушителю, проникшему во внутреннюю корпоративную сеть, для получения контроля над важнейшими ресурсами предприятия нужно было бы провести эксплуатацию в среднем 7 различных уязвимостей, причем в 40% систем ему не потребовалась бы для этого высокая квалификация. Подобная легкость проведения атак объясняется наличием критических недостатков безопасности, которым были подвержены почти все (95%) рассмотренные внутрисетевые ресурсы. Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей, а также недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP). Обе эти уязвимости встречаются в 92% систем. Следующая по распространенности уязвимость — использование открытых протоколов передачи данных, таких как Telnet, FTP, HTTP, которое наблюдается в 75% случаев.

Сотрудники не соблюдают элементарных правил безопасности

Другой существенной проблемой стал низкий уровень осведомленности пользователей в вопросах информационной безопасности. Результаты проверок, проведенных в 2011 и 2012 годах, свидетельствуют, что социальная инженерия может быть опасным оружием в руках злоумышленника.

В каждой третьей компании уровень осведомленности сотрудников о правилах ИБ был оценен как крайне низкий. В таких системах более 30% пользователей переходили фишинг-ссылкам и вводили конфиденциальные учетные данные.

В среднем за два года каждый пятый получатель рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному в сообщении адресу, 18% ввели свои данные либо установили прилагаемое к письму программное обеспечение, а 1% пользователей попытались вступить в диалог с автором небезопасного письма.

В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получить доступ к критическим ресурсам, а также преодолеть внешний периметр сети.

Выводы, представленные в исследовании, вполне однозначны: несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

Заместитель генерального директора Positive Technologies Сергей Гордейчик отмечает:

«Часто можно услышать, что тестирование на проникновение это "настоящий взлом" или "реальная целенаправленная атака", но это не совсем так. Действия аудитора ограничены различными правовыми и этическими нормами, которые мало заботят злоумышленников. Нам приходится сталкиваться с ситуациями, когда заказчик устраняет уязвимости на основе предварительных отчетов или настраивает системы обнаружения атак на полную катушку, блокируя буквально каждый пакет с адресов, указанных в регламенте проведения работ. И чтобы на основании представленного отчета получить представление о реальном уровне защищенности корпоративных сетей, нужно мысленно умножить показатели уязвимости как минимум на два».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Прокуратура Москвы предупреждает о новой мошеннической схеме

Новая мошенническая схема, о которой предупреждает Прокуратуры Москвы: аферисты под видом сотрудников ФНС предлагают задекларировать деньги, а затем похищают их.

Как сообщил официальный телеграм-канал Прокуратуры Москвы, такую схему злоумышленники использовали для кражи сбережений у 71-летней пенсионерки.

Женщине позвонил неизвестный. Он узнал от потерпевшей, что она хранит сбережения дома. Мошенник сообщил ей, что все незадекларированные деньги изымет «налоговая служба» для их декларирования.

По указанию аферистов женщина придумала кодовое слово, которое должна использовать на встрече с курьером при передаче наличных. В этот же день курьер мошенников забрал все накопления пострадавшей (2,3 млн рублей), отдав взамен «договор», выполненный в фоторедакторе. Внимательно рассмотрев документ, женщина поняла, что ее обманули.

Криминального курьера удалось задержать. Им оказался 23-летний уроженец Кемеровской области. Предложения о такой работе он получил через один их мессенджеров. Наниматели оплатили ему билет до Москвы и комнату в хостеле.

Задержанному предъявлено обвинение и избрана мера пресечения в виде заключения под стражу. Он проверяется на причастность к совершению аналогичных преступлений.

«Сотрудники банков, государственных и правоохранительных органов никогда не просят граждан передавать денежные средства курьерам либо переводить их на определенные счета», — напоминает прокуратура.

Координатор платформы «Мошеловка» Евгения Лазарева отметила в комментарии для «Известий», что налоговая тема очень широко используется мошенниками, особенно накануне 1 декабря, когда завершается прием налоговых платежей. По мнению эксперта, мошенники пользуются тем, что большинство россиян не знакомы с тонкостями налогового законодательства, поэтому их легко запугать и обмануть.

Как дополнил адвокат Шон Бетрозов, злоумышленники эксплуатируют страх перед государственными органами.

«Граждане уверены, что ошибка в налоговых вопросах может привести к серьезным проблемам: штрафам, аресту или даже судебному преследованию. Кроме того, далеко не каждый вникает в сложные аспекты законодательства, что позволяет мошенникам использовать юридическую терминологию и ссылаться на несуществующие законы, создавая иллюзию легитимности», — подчеркнул юрист в комментарии для «Известий».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru