В России уязвимы локальные сети 96% предприятий – Positive Technologies
В ходе пентестов (анализ системы на наличие уязвимостей) за 2021–2022 годы 96% протестированных отечественных организаций оказались не защищены от проникновения в локальную сеть; основными точками входа для нападающих стали уязвимости и недостатки конфигурации веб-приложений во всех без исключения компаниях, сообщает Positive Technologies в среду.
Как отмечают исследователи, оставшиеся 4% — это одна организация из банковского сектора, где при имитации атаки удалось получить доступ лишь в т.н. «демилитаризованную зону», то есть в буферную зону между внешней и внутренней сетью. В этой организации неоднократно осуществлялись пентесты и была проведена тщательная работа над ошибками.
Напомним, накануне глава ГК InfoWaych Наталья Касперская отмечала, что раньше злоумышленники были больше нацелены на хищение денежных средств, и поэтому банки, выстраивавшие защиту от атак, защищены на данный момент лучше всего.
Второй по «популярности» точкой проникновения были уязвимости в Microsoft Exchange. Они были использованы в пяти организациях. Замыкает тройку «лидеров» среди уязвимостей ПО WebTutor.
Во всех незащищённых организациях исследователям удалось получить полный контроль над инфраструктурой, при этом потенциальному нарушителю для этого не нужно обладать высокой квалификацией.
Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Самая быстрая атака была проведена пентестерами за час.
Успешные проникновения в локальную сеть, в которых использовались уязвимости веб-приложений, составляют 14%. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей. Чаще всего критически опасные уязвимости связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО; в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений.
Пентесты проводились в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года. Большая часть исследуемых компаний (63%) – представители финансовой отрасли, промышленные предприятия и государственные учреждения; 57% протестированных компаний входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600.
По умолчанию целью внешнего пентеста является получение доступа во внутреннюю сеть компании, а главная задача внутреннего пентеста — получить максимальные привилегии в инфраструктуре компании.
По данным исследования, при проведении внешнего пентеста в девяти из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например, к коммерческой тайне.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена.
Получить доступ к конфиденциальной информации было возможно в 68% компаний.
В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики.
В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО.
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учётным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов.
Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации. Среднее время осуществления злоумышленниками недопустимого исследователи оценили в 10 дней. Бо́льшая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%), говорится в сообщении.
См. также: Раскрыты подробности работы киберштаба для совместной защиты российских организаций >>>