Главная Написать письмо Twitter Facebook RSS Новости

Крупные компании не защищены даже от неквалифицированных киберпреступников


Несмотря на усиленное внимание к проблемам безопасности в российских коммерческих и государственных организациях, уровень защиты их периметра, внутренних сетей и понимания сотрудниками основ информационной безопасности в целом остается достаточно низким. К такому выводу пришли эксперты компании Positive Technologies по итогам исследования защищенности корпоративных IT-систем на предприятиях.

Отчет основан на статистике, полученной в ходе работ по тестированию на проникновение, которые велись в 2011 и 2012 годах. В процессе выполнения пентестов эксперты моделируют действия атакующего, играя роль взломщика, что позволяет на практике оценить эффективность используемых мер защиты информации. Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»). Попавшие в отчет корпоративные системы насчитывают тысячи узлов и зачастую распределены территориально по десяткам филиалов.

В результате исследования специалисты выявили следующие особенности ИБ в отечественных компаниях:

1. Корпоративные сети плохо защищены от атак из интернета.
В среднем только одна из четырех IT-систем смогла противостоять санкционированным попыткам вторжения во внутреннюю сеть. Другими словами, потенциальный злоумышленник, атакующий из любой точки земного шара, имеет очень высокие шансы получить доступ к внутренним ресурсам среднестатистической корпорации. В отчете также сообщается о наличии настоящих следов взлома, обнаруженных специалистами в 15% протестированных систем.

2. Высокая квалификация нападающему не требуется.
Для преодоления защиты сетевого периметра внешнему атакующему, как правило, достаточно осуществить эксплуатацию трех различных уязвимостей, причем 37% атак могут быть реализованы усилиями скрипт-кидди — взломщиков низкой квалификации.

Почти в половине случаев проникновение во внутреннюю сеть основывается на использовании недостатков парольной защиты — на подборе словарных паролей и паролей, заданных производителями по умолчанию. Данная проблема является самой распространенной, она была обнаружена на сетевом периметре 79% исследованных систем, при этом в 74% случаев словарные пароли использовались для привилегированных учетных записей.

В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений: такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.

3. И снова про обновления безопасности.
Каждая пятая система, защиту сетевого периметра которой удалось преодолеть, оказалась незащищенной в силу различных недостатков, связанных с отсутствием актуальных обновлений безопасности. Уязвимости среднего и высокого уровня риска, связанные с отсутствием патчей, были выявлены в 65% систем (критические недостатки составили почти половину). Средний возраст неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет 51 месяц, то есть более 4 лет. В одном из государственных учреждений обновления не устанавливались в течение более чем 7 лет, в результате было обнаружено множество уязвимостей, в том числе критических, позволяющих выполнять произвольный код на системе.

4. Парализовать работу компании изнутри — это просто.
Получив доступ к узлам внутренней сети, злоумышленник обычно стремится к получению более широких привилегий в критически важных системах. В каждом третьем случае (32%) успешного преодоления защиты периметра исследователи Positive Technologies имели возможность развить атаку и получить полный контроль над всей инфраструктурой предприятия. В реальных условиях подобные инциденты могли бы иметь самые серьезные последствия, вплоть до остановки операционной деятельности, нарушения производственного цикла, потери конфиденциальной информации и финансовых средств, террористической угрозы.

Нарушителю, проникшему во внутреннюю корпоративную сеть, для получения контроля над важнейшими ресурсами предприятия нужно было бы провести эксплуатацию в среднем 7 различных уязвимостей, причем в 40% систем ему не потребовалась бы для этого высокая квалификация. Подобная легкость проведения атак объясняется наличием критических недостатков безопасности, которым были подвержены почти все (95%) рассмотренные внутрисетевые ресурсы. Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей, а также недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP). Обе эти уязвимости встречаются в 92% систем. Следующая по распространенности уязвимость — использование открытых протоколов передачи данных, таких как Telnet, FTP, HTTP, которое наблюдается в 75% случаев.

5. Сотрудники не соблюдают элементарных правил безопасности.
Другой существенной проблемой стал низкий уровень осведомленности пользователей в вопросах информационной безопасности. Результаты проверок свидетельствуют, что социальная инженерия может быть опасным оружием в руках злоумышленника.

В каждой третьей компании уровень осведомленности сотрудников о правилах ИБ был оценен как крайне низкий. В таких системах более 30% пользователей переходили по фишинг-ссылкам и вводили конфиденциальные учетные данные.

В среднем за два года каждый пятый получатель рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному в сообщении адресу, 18% ввели свои данные либо установили прилагаемое к письму программное обеспечение, а 1% пользователей попытались вступить в диалог с автором небезопасного письма.

В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получить доступ к критическим ресурсам, а также преодолеть внешний периметр сети.

Выводы, представленные в исследовании, вполне однозначны: несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

Раздел: информационная безопасность
Дата: 22-12-2013


№8 - 2013


В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
Календарь
01.01.1970



Copyright © 2000-2017 "Центр Компьютерного моделирования "Перспектива" Тел: +7 (926) 011-67-54 E-mail: info@csc.ru
Новости | Интервью | Пресс-релизы | События

Все поля необходимы для заполнения.






Введите e-mail указанный при регистрации.



Для того чтобы иметь доступ к полному тексту статьи необходимо быть зарегистрированным пользователем и авторизоваться.
Для того чтобы иметь возможность просматривать журнал необходимо быть зарегистрированным пользователем и авторизоваться.

Макеты принимаются на компакт-дисках CD-R ,CD-RW, DVD-R, DVD-RW, устройствах, поддерживающих USB. Файлы также могут быть отправлены с помощью электронной почты.

Редакция журнала "Безопасность: информационное обозрение" серьезно относится к художественному оформлению журнала. В случае, если рекламные макеты вызывают замечания с художественной точки зрения, редакцией журнала может быть предложена разработка нового оригинал-макета.

Требования к форматам файлов

Макеты в прочих форматах обсуждаются индивидуально.

Не принимаются оригинал-макеты в форматах Microsoft Word, Excel, Power Point.

Требования к элементам макета издания

Все элементы, печатаемые в край полосы (под обрез) должны иметь "вылет" за край обрезного формата (доливку под обрез) - 5 мм.

Требования к содержанию рекламных материалов:

• Рекламные материалы должны соответствовать требованиям действующего законодательства РФ.
• Реклама должна соответствовать содержанию той страницы сайта, на которую ведет рекламная ссылка, быть достоверной, не вводить потребителя в заблуждение.

Требования к сайту рекламодателя:

• На странице сайта рекламодателя, на которую ведет рекламная ссылка, не должны открываться дополнительные окна (PopUp или PopUnder).
• Страница, на которую ведет рекламная ссылка, должна корректно открываться в браузере и не содержать ошибок скриптов и программ.
• Если страница сайта, на которую ведет рекламная ссылка, при размещении или в ходе рекламной кампании не отвечает или открывается некорректно, размещение будет приостановлено до исправления ошибки.

Иные требования:

• Администрация Securityinfowatch.ru оставляет за собой право отклонить любой рекламный материал без объяснения причин.

Поддерживаемые форматы баннеров

Поддерживаемые форматы JPG, PNG.

Размеры размещаемых баннеров в пикселях 990x90, 728x90, 245x245, 245x50.

Допустимый размер баннера в килобайтах определяется его размером в пикселях:

Рекламный баннер должен иметь видимые границы, т.е. быть обведенным в рамку, не совпадающую с цветом фона (по умолчанию белым).

При необходимости наши специалисты изготовят необходимый Вам баннер. Условия изготовления и расценки обсуждаются индивидуально и зависят от уровня сложности работ.