Компанія Positive Technologies представила результати дослідження захищеності корпоративних IT-систем ключових комерційних і державних організацій. Незважаючи на посилену увагу до проблем безпеки на підприємствах такого рівня, підсумкові результати виявилися невтішними: недостатній захист периметра, вразливі ресурси внутрішньої мережі і погане розуміння співробітниками основ інформаційної безпеки.
Об'єктами дослідження стали найбільші державні організації та комерційні компанії з телекомунікаційного, банківського, фінансового, промислового, будівельного і торгового секторів економіки (в тому числі входять до топ-400 за версією агентства «Експерт»). Потрапили в звіт корпоративні системи налічують тисячі вузлів і часто розподілені територіально по десяткам філій.
Корпоративні мережі погано захищені від атак з інтернету
В середньому лише одна з чотирьох IT-систем змогла протистояти санкціонованим спробам вторгнення у внутрішню мережу. Іншими словами, потенційний зловмисник, атакуючий з будь-якої точки земної кулі, має дуже високі шанси отримати доступ до внутрішніх ресурсів середньостатистичної корпорації. У звіті також повідомляється про наявність справжніх слідів злому, виявлених фахівцями Positive Technologies в 15% протестованих систем.
Висока кваліфікація нападнику не потрібно
Для подолання захисту мережевого периметра зовнішньому атакуючому, як правило, досить здійснити експлуатацію трьох різних вразливостей, причому 37% атак можуть бути реалізовані зусиллями скрипт-кідді - зломщиків низької кваліфікації.
Майже в половині випадків проникнення у внутрішню мережу грунтується на використанні недоліків парольного захисту - на підборі словникових паролів і паролів, заданих виробниками за замовчуванням. Дана проблема є найпоширенішою, вона була виявлена на мережевому периметрі 79% досліджених систем, при цьому в 74% випадків словникові паролі використовувалися для привілейованих облікових записів.
Багато атаки виявляються можливими через доступність інтерфейсів управління серверами і мережевим обладнанням (SSH, Telnet, RDP, веб-інтерфейсів) з зовнішніх мереж.
І знову про поновлення безпеки
Кожна п'ята система, захист мережевого периметра якій вдалося подолати, виявилася незахищеною в силу різних недоліків, пов'язаних з відсутністю актуальних оновлень безпеки. Уразливості середнього і високого рівня ризику, пов'язані з відсутністю патчів, були виявлені в 65% систем (критичні недоліки склали майже половину). Середній вік невстановлених оновлень по системам, де такі уразливості були виявлені, становить 51 місяць, тобто більше 4 років. В одному з державних установ оновлення не встановлювалися протягом більш ніж 7 років, в результаті було виявлено безліч вразливостей, в тому числі критичних, що дозволяють виконувати довільний код на системі.
Паралізувати роботу компанії зсередини - це просто Отримавши доступ до вузлів внутрішньої мережі, зловмисник зазвичай прагне до отримання більш широких привілеїв в критично важливих системах. У кожному третьому випадку (32%) успішного подолання захисту периметра дослідники Positive Technologies мали можливість розвинути атаку і отримати повний контроль над усією інфраструктурою підприємства. В реальних умовах подібні інциденти могли б мати найсерйозніші наслідки, аж до зупинки операційної діяльності, порушення виробничого циклу, втрати конфіденційної інформації і фінансових коштів, терористичної загрози.
Порушнику, проник у внутрішню корпоративну мережу, для отримання контролю над найважливішими ресурсами підприємства потрібно було б провести експлуатацію в середньому 7 різних вразливостей, причому в 40% систем йому не потрібна була б для цього висока кваліфікація. Подібна легкість проведення атак пояснюється наявністю критичних недоліків безпеки, яким були піддані майже всі (95%) розглянуті внутрішньомережеві ресурси. Найпоширенішими уразливими ресурсів внутрішньої мережі є використання слабких паролів, а також недоліки фільтрації і захисту службових протоколів канального і мережевого рівнів (ARP, STP, DHCP, CDP). Обидві ці уразливості зустрічаються в 92% систем. Наступна за поширеністю вразливість - використання відкритих протоколів передачі даних, таких як Telnet, FTP, HTTP, яке спостерігається в 75% випадків.
Співробітники не дотримуються елементарних правил безпеки
В цілому найбільш істотні проблеми були виявлені в централізованих системах рівня інфраструктури (таких так Microsoft Active Directory), серверних компонентах, СУБД і веб-додатках. Саме через ці системи вдавалося в більшості випадків отримати доступ до критичних ресурсів, а також подолати зовнішній периметр мережі.
Висновки, представлені в дослідженні, цілком однозначні: незважаючи на масштабні заходи щодо забезпечення ІБ в розглянутих компаніях, отримані практичні результати свідчать про їх низьку ефективність. Так, множинні помилки в веб-додатках говорять про неефективність процесу аудиту інформаційної безпеки в області веб-додатків, а які не можна настроїти протягом декількох років поновлення - про відсутність процесу управління уразливими і оновленнями.