Эксперты Positive Technologies установили, что абсолютное большинство компаний не смогут отразить кибератаку. Основные проблемы связаны с уязвимостями веб-приложений и неограниченным доступом к внутренним сетевым ресурсам.

В прошлом году аналитики провели более 30 внешних и внутренних проверок на проникновение в условиях, максимально приближенных к реальности. В первом случае специалисты взламывали инфраструктуру так, как это мог бы делать сторонний злоумышленник с нулевым уровнем доступа. Второй вариант предполагал инсайдерскую угрозу. В 25% компаний эксперты выполнили оба теста.

В контрольную выборку вошли российские и зарубежные компании разного профиля. Большинство тестируемых организаций осуществляло свою деятельность в таких сферах, как промышленное производство, финансы и транспорт.

Исследование показало, что девять из десяти инфраструктур беззащитны перед взломщиками. В трех случаях из четырех тестировщики проникали внутрь защищенного периметра через уязвимые веб-ресурсы. Для этого они подбирали пароль одного из пользователей и применяли какую-либо брешь приложения. Это позволяло им загрузить сторонние файлы на корпоративный сервер или установить RDP-соединение.

Другой опасный вектор атаки связан с незащищенными протоколами, по которым учетные данные пересылаются без шифрования. Более чем в половине случаев это позволило экспертам получить доступ к панелям администратора, базам данных и аппаратному обеспечению.

В некоторых случаях злоумышленникам достаточно подключиться к корпоративной WiFi-сети, откуда они могут добраться до локальных ресурсов. Зачастую это можно сделать, даже не заходя в офис компании-жертвы, — почти у 90% участников беспроводная сеть доступна за его пределами. В половине случаев таким образом можно получить неограниченный доступ к инфраструктуре.

Примечательно, что системы аутентификации вовсе не являются панацеей — почти все исследованные WiFi-сети использовали протокол WPA2 с поддержкой EAP или PSK. Преступник может обойти эту защиту, если взломает пароль легитимного пользователя после рукопожатия его устройства с точкой доступа. Подбор кодовой фразы по словарю доказал свою эффективность в половине проверок.

Атака инсайдера грозит еще худшими результатами — в ходе всех проверок специалисты добились неограниченного доступа к инфраструктуре. Все необходимые данные они получали методом подбора или добывали из системной памяти с помощью специальных утилит. Ни одна компания не позаботилась о защите внутреннего трафика. Фактически это означает, что вся корпоративная информация доступна любому участнику локальной сети.

В ходе проверок эксперты успешно применяли и социальную инженерию — звонили сотрудникам и вступали в переписку. Почти 15% пользователей сообщили по телефону имена и должности своих коллег, их рабочие и мобильные номера. Около трети кликнули по ссылке в электронном письме или запустили полученное от тестировщиков приложение. В 10% случаев исследователи смогли получить учетные данные пользователей через поддельную форму аутентификации.

Эксперты призывают компании к регулярному аудиту веб-приложений. Такие системы следует защитить брандмауэром — это предотвратит эксплойт нулевого дня и позволит не отключать ПО, пока инженеры работают над заплатками. Так же часто стоит проверять, какие сервисы доступны для внешних подключений, и максимально ограничивать их список.

От влияния человеческого фактора организацию могут оградить антивирусные решения, которые превентивно блокируют вредоносные программы. Такая система не позволит сотруднику открыть опасное вложение в электронном письме. В дополнение к динамическому анализу нового ПО эти программы должны регулярно сканировать и уже сохраненные файлы, чтобы не пропустить угрозы, для которых сигнатуры появились позднее.

В ноябре 2018 года кибератаки возглавили рейтинг угроз для бизнеса в Европе, Северной Америке и странах Тихоокеанского региона. В среднем по миру риски ИБ заняли пятую строчку среди всех существующих проблем.

Категории: Аналитика, Главное, Кибероборона, Хакеры