Крупные компании не защищены даже от неквалифицированных киберпреступников Несмотря на усиленное внимание к проблемам безопасности в российских коммерческих и государственных организациях, уровень защиты их периметра, внутренних сетей и понимания сотрудниками основ информационной безопасности в целом остается достаточно низким. К такому выводу пришли эксперты компании Positive Technologies по итогам исследования защищенности корпоративных IT-систем на предприятиях. Отчет основан на статистике, полученной в ходе работ по тестированию на проникновение, которые велись в 2011 и 2012 годах. В процессе выполнения пентестов эксперты моделируют действия атакующего, играя роль взломщика, что позволяет на практике оценить эффективность используемых мер защиты информации. Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»). Попавшие в отчет корпоративные системы насчитывают тысячи узлов и зачастую распределены территориально по десяткам филиалов. В результате исследования специалисты выявили следующие особенности ИБ в отечественных компаниях: 1. Корпоративные сети плохо защищены от атак из интернета. В среднем только одна из четырех IT-систем смогла противостоять санкционированным попыткам вторжения во внутреннюю сеть. Другими словами, потенциальный злоумышленник, атакующий из любой точки земного шара, имеет очень высокие шансы получить доступ к внутренним ресурсам среднестатистической корпорации. В отчете также сообщается о наличии настоящих следов взлома, обнаруженных специалистами в 15% протестированных систем. 2. Высокая квалификация нападающему не требуется. Для преодоления защиты сетевого периметра внешнему атакующему, как правило, достаточно осуществить эксплуатацию трех различных уязвимостей, причем 37% атак могут быть реализованы усилиями скрипт-кидди — взломщиков низкой квалификации. Почти в половине случаев проникновение во внутреннюю сеть основывается на использовании недостатков парольной защиты — на подборе словарных паролей и паролей, заданных производителями по умолчанию. Данная проблема является самой распространенной, она была обнаружена на сетевом периметре 79% исследованных систем, при этом в 74% случаев словарные пароли использовались для привилегированных учетных записей. В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений: такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей. 3. И снова про обновления безопасности. Каждая пятая система, защиту сетевого периметра которой удалось преодолеть, оказалась незащищенной в силу различных недостатков, связанных с отсутствием актуальных обновлений безопасности. Уязвимости среднего и высокого уровня риска, связанные с отсутствием патчей, были выявлены в 65% систем (критические недостатки составили почти половину). Средний возраст неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет 51 месяц, то есть более 4 лет. В одном из государственных учреждений обновления не устанавливались в течение более чем 7 лет, в результате было обнаружено множество уязвимостей, в том числе критических, позволяющих выполнять произвольный код на системе. 4. Парализовать работу компании изнутри — это просто. Получив доступ к узлам внутренней сети, злоумышленник обычно стремится к получению более широких привилегий в критически важных системах. В каждом третьем случае (32%) успешного преодоления защиты периметра исследователи Positive Technologies имели возможность развить атаку и получить полный контроль над всей инфраструктурой предприятия. В реальных условиях подобные инциденты могли бы иметь самые серьезные последствия, вплоть до остановки операционной деятельности, нарушения производственного цикла, потери конфиденциальной информации и финансовых средств, террористической угрозы. Нарушителю, проникшему во внутреннюю корпоративную сеть, для получения контроля над важнейшими ресурсами предприятия нужно было бы провести эксплуатацию в среднем 7 различных уязвимостей, причем в 40% систем ему не потребовалась бы для этого высокая квалификация. Подобная легкость проведения атак объясняется наличием критических недостатков безопасности, которым были подвержены почти все (95%) рассмотренные внутрисетевые ресурсы. Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей, а также недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP). Обе эти уязвимости встречаются в 92% систем. Следующая по распространенности уязвимость — использование открытых протоколов передачи данных, таких как Telnet, FTP, HTTP, которое наблюдается в 75% случаев. 5. Сотрудники не соблюдают элементарных правил безопасности. Другой существенной проблемой стал низкий уровень осведомленности пользователей в вопросах информационной безопасности. Результаты проверок свидетельствуют, что социальная инженерия может быть опасным оружием в руках злоумышленника. В каждой третьей компании уровень осведомленности сотрудников о правилах ИБ был оценен как крайне низкий. В таких системах более 30% пользователей переходили по фишинг-ссылкам и вводили конфиденциальные учетные данные. В среднем за два года каждый пятый получатель рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному в сообщении адресу, 18% ввели свои данные либо установили прилагаемое к письму программное обеспечение, а 1% пользователей попытались вступить в диалог с автором небезопасного письма. В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получить доступ к критическим ресурсам, а также преодолеть внешний периметр сети. Выводы, представленные в исследовании, вполне однозначны: несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями. Раздел: информационная безопасность Дата: 22-12-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|