В рамках внешнего тестирования на проникновение экспертам удалось преодолеть сетевой периметр 92% организаций, а от лица внутреннего нарушителя был получен полный контроль над инфраструктурой во всех исследуемых системах. В большинстве компаний было выявлено несколько способов (векторов) проникновения во внутреннюю сеть.
По данным исследования компании Positive Technologies, в среднем на одну систему приходилось два вектора проникновения, а максимальное число векторов, обнаруженных в одной системе, — пять. Как правило, проникнуть во внутреннюю сеть организации можно с использованием известных недостатков безопасности, что не требует от злоумышленника глубоких теоретических знаний.
Как сообщают специалисты, во всех протестированных компаниях главную проблему на сетевом периметре представляют уязвимости в коде веб-приложений. В целом с недостаточной защитой веб-ресурсов связаны 75% векторов проникновения. В половине компаний для преодоления периметра требовался всего один шаг, и чаще всего он заключался в эксплуатации уязвимости в веб-приложении.
Во всех исследуемых системах был получен полный контроль над инфраструктурой от лица внутреннего нарушителя. Помимо этого, эксперты получили доступ к критически важным ресурсам, в том числе ресурсам АСУ ТП, SWIFT, к управлению банкоматами.
Эксперты отметили, что типовой вектор атаки во внутренней сети строится на подборе словарных паролей для доступа к компьютерам и последующем запуске специальных утилит, которые собирают учетные записи всех пользователей ОС. Полученные учетные записи могут использоваться и на других компьютерах; таким образом злоумышленник перемещается по сети от одного компьютера к другому. Отсутствие обновлений, особенно связанных с устранением критически опасных уязвимостей, также помогает злоумышленнику развивать атаку. Во внутренней инфраструктуре компаний чаще всего встречались уязвимые версии ОС: они были выявлены в 44% протестированных систем.
Проводились и проверки методами социальной инженерии, которые моделировали фишинговую атаку на компанию. Для этого рассылались специальным образом сформированные электронные письма, содержащие вложенные документы или ссылки на веб-ресурсы. Результаты таких проверок показали, что каждый третий сотрудник рискует запустить вредоносный код на своем рабочем компьютере, каждый седьмой может вступить в диалог со злоумышленником и выдать конфиденциальную информацию, а каждый десятый сотрудник вводит свои учетные данные в поддельную форму аутентификации.
Анализ также подтвердил, что беспроводные сети остаются потенциальным вектором проникновения во внутреннюю инфраструктуру компании. В 87% протестированных систем беспроводные сети были доступны за пределами контролируемой зоны — из ближайшего кафе, с парковки или из гостевой зоны на проходной. В 63% систем эксперты получили доступ к локальной сети через беспроводные сети.
Источник: