IT-системы крупных компаний может взломать даже начинающий хакер

    Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены. Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

    Данные для исследования


    При проведении исследования были использованы данные работ по тестированию на проникновение, проведенных в 2011 и 2012 годах (по 10 систем для каждого года). Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»).

    image

    Попавшие в отчет корпоративные системы насчитывают тысячи узлов, зачастую распределены территориально и имеют десятки филиалов.

    Уязвимы все


    Абсолютно все исследованные системы оказались подвержены уязвимостям среднего уровня риска. Уязвимости высокой степени риска были обнаружены в 95% систем

    image

    Распространенные уязвимости сетевого периметра


    Злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть сетевой периметр и проникнуть во внутреннюю сеть в 74% случаев. При этом для преодоления сетевого периметра в большинстве случаев киберпреступнику достаточно иметь средний или низкий уровень квалификации.

    image

    Данные за 2012 год позволяют сделать вывод о том, что банковские системы защищены все же лучше, чем системы прочих компаний. Любой внешний нарушитель может проникнуть во внутренние системы банков в 20% случаев, тогда как в других секторах этот показатель составляет 80%.

    image
    Категория нарушителя, от лица которого можно получить полный контроль над критически важными ресурсами в банковских системах

    image
    Категория нарушителя, от лица которого можно получить полный контроль над критически важными ресурсами в системах компаний прочих отраслей

    В среднем для преодоления сетевого периметра требуется последовательная эксплуатация трех различных уязвимостей. В 47% случаев первым этапом служит подбор словарных паролей пользователей, далее осуществляется расширение привилегий и получение контроля над каким-либо ресурсом, относящимся к внутренней сети.

    В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений. Такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Наиболее полный обзор подобных проблем безопасности приведен в отчете «Статистика уязвимостей веб-приложений (2012 г.)».

    Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.

    image

    Безопасность ресурсов внутренней сети


    В трети случаев внешний нарушитель после получения доступа к внутреней сети имеет возможности для развития атаки и получения полного контроля над всей IT-инфраструктурой компании. В целом для 84% исследованных систем в результате внешнего тестирования на проникновение со стороны сети Интернет удалось получить несанкционированный доступ к ресурсам с различными привилегиями.

    Если же злоумышленнику удалось получить доступ к сети, то, согласно статистике, у него есть все шансы для повышения своих привилегий и получения доступа к критическим ресурсам. При наличии доступа в сеть специалистам Positive Technologies удалось получить несанкционированный доступ к критическим ресурсам во всех исследованных системах, а в 67% был получен полный контроль над всей инфраструктурой.

    image

    В среднем при наличии доступа во внутреннюю сеть для получения контроля над критическими ресурсами злоумышленнику требуется эксплуатация 7 уязвимостей.

    Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей и недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP): они встречаются в 92% систем. Далее идет использование открытых протоколов передачи данных (Telnet, FTP, HTTP) — 75% случаев.

    image

    Человеческий фактор


    Уязвимости в оборудовании и конфигурациях программного обеспечения — далеко не единственная проблема безопасности, которая может открыть злоумышленнику доступ к корпоративной сети. Низкая осведомленность сотрудников компаний в вопросах информационной безопасности делает социальную инженерию опасным оружием в руках киберпреступников.

    В среднем за два года исследований каждый пятый адресат рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному адресу, 18% ввели свои данные или запустили прилагаемое к письму ПО, а 1% пользователей даже попытались вступить в диалог с автором небезопасного письма.

    image

    Выводы


    В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получать доступ к критическим ресурсам, а также преодолевать внешний периметр сети.

    Несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

    С полной версией отчета об исследовании можно ознакомиться на сайте Positive Technologies.

    Comments 33

      +14
      И после такого отчета — Positive Technologies?
      По теме — ужас :(
        –7
        Чего уж говорить, везде поголовно стоит нелицензионный софт.
        Большинство так и сидят на сборках «Zver», где аккаунт по умолчанию администратора с «логин»=>«Admin»/ «паролем» = "".Эти же сборки используются в корпорациях ленивыми сисадминами плохими сисадминами. Уже не говоря о том, как даётся доступ в ад, большинству дают роль локального администратора, или пароль 12345 и так далее, таких мелких поблажек грубых ошибок очень много, что в совокупности сводит любые способы борьбы с пользователямипопытку ввести безопасность сводит на нет… Продолжать не хочу, лень, все видели, все знают, Все понимают, все молчат.
        В 99% случаев это связано с беспечностью необразованностью руководителей IT отделов, либо отдела кадров,
          +7
          Как мне кажется, всё-таки компании, которые заказывают тестирование на проникновение, не совсем подходят под Ваше описание. Компаниям с ленивыми необразованными сисадминами и беспечными руководителями IT и кадров такие услуги вряд ли знакомы. Им не до того.
            –1
            Возможно Вам и правда лишь так кажется, судя по вышеописанному материалу, независимо от Ваших слов, проблемы схожие во всех компаниях :)
              +1
              Дело не в том. Беспечный руководитель не будет заказывать тест на проникновение. Ленивый сисадмин не захочет исправлять недостатки, выявленные по итогам этого теста. Поэтому мне и показалось, что под ваше описание компании «поголовно» не попадают.
                0
                Пентест не показатель. Взломать можно 99.9% систем. Наглядный результат пентеста — это эффектный способ выбить денег на ИБ у несговорчевого топ-менеджера.
                  0
                  Интересно ещё какой процент взломов замечают. Ибо одно дело — взломать и что-то украсть, а другое дело — ешё и сделать так, что про это никто ничего не узнает. Тут нужно не один раз провести тестирование, а много (а в идеале — делать это регулярно со случайными интервалами, чтобы так вот просто сотрудники не могли понять что к чему). Как много компаний это делают?
              0
              пентест является обязательным для соответствия PCI DSS, например. тут уже не важно насколько кто ленив и квалифицирован, он просто должен быть.
              0
              Насколько я помню, в виндовс XP и без всяких зверей есть предустановленный скрытый аккаунт «Administrator» или «Администратор» (в русской версии), с изначально пустым паролем. Но подключиться с этими данными по сети не получится, обязательно нужен не пустой пароль. Поправьте если я ошибаюсь.
                0
                аккаунт не является скрытым и если не изменяет память, то для него просят задать пароль при инициализации системы после установки.
              0
              Не удивлен :)
              • UFO just landed and posted this here
                  0
                  Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе. Как скажут, так и будет.
                  В офисе запрещены вайфаи, сетевые кабели разделены на защищенные и публичные по цвету, авторизация по rsa токену, девелоперские виртуалки объеденины в единую изолированную подсеть, есть список разрешенного для использования ПО, копи-паст и флешки из виртуалок не работают, инфосеки сканируют компьютеры и почту, бинарники по почте не передать, и т.д. и т.п.
                  Очень раздражает что мне нужно 3 пароля, один пин код и 1 rsa токен чтобы попасть в корпоративную почту, но при всем при этом, если очень захотеть, вытащить что-то из системы — раз плюнуть.
                  • UFO just landed and posted this here
                      0
                      «Вот Вы понаставили своих крутых систем безопасности, ДЛП и прочей бесполезной ботвы, а я возьму и на мобилу экран переснимаю» :)
                      • UFO just landed and posted this here
                          0
                          Как не крути, DLP системы совсем не панацея, они спасают, только от «простых» пользователей.
                          Любой человек который, хотя бы знает что такое dlp, чуть глубже чем на уровне аббревиатуры, может придумать, с десяток способов ее обхода.
                          При этом в каждом конкретной ситуации свои нюансы, где-то достаточно, шифрованного архива, где-то шифрованного архива с расширением .txt, где то просто надо отправить zip бомбу перед своим сообщением. В крайнем случае, гугл может рассказать еще интересней.

                          P.S.
                          Вы не единственный, кто пробовал устрицы.
                          • UFO just landed and posted this here
                              0
                              Абсолютно с вами согласен, что глупо обсуждать конкретные системы обеспечения ИБ, в отрыве от их среды.
                              Я лишь пытался, сказать, что существующие на рынке комплексные «коробочные» решения с «ярлыком» DLP, как правило рассчитаны, на защиту от «среднестатистического» пользователя, а не на тех, кто подписан на хаб «информационная безопасность» на хабре.
                              • UFO just landed and posted this here
                        0
                        >>Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе

                        Это все потому что, у вас
                        >>девелоперские виртуалки

                        а у них
                        >>манагер есть.

                        В софтверных конторах как-то получше и с админами, и самим админам получше.
                        0
                        чем крупнее контора, тем больше формальных правил и требований. и правила эти устанавливает не сисадмин, который является лишь исполнителем и не манагер, который является просто пользователем.
                        • UFO just landed and posted this here
                            0
                            на 90% твой коммент это лирика о том как не справедливо руководство относится к мнению сисадмина.
                            но на самом деле, сисадмин и не должен формулировать требования ИБ.

                            и если зрелость компании такова, что какой-то начальник может крутить вертеть безопасностью как ему хочется и бить кулаком по столу, то значит и ИБ риски у этой компании не так существенны, чтобы обращать на них внимание.
                            • UFO just landed and posted this here
                                0
                                понять какие механизмы можно и нужно применять можно и без мнения сисадмина.
                        0
                        Большинство ІТ-безопасности должно решатся на уровне политик компании. Но, как мы знаем, везде бывают сключения (большие боссы) :)
                          +5
                          Графика красивая, молодцы!
                            +18
                            «Даже начинающий хакер»
                            Я взломаю банк и все девки будут мои, но мамка гонит делать уроки :((
                              0
                              В любой системе есть слабое звено. Спасибо за недвусмысленное указание, что чаще всего им является. Достойный материал!
                                +1
                                Доводилось несколько раз наблюдать работу позитивщиков.
                                Самое неприятное когда, после нескольких попыток пробиться через сетевой периметр, начинаются письма счастья. И всегда найдется коллега, который несмотря на тренинги, попадется на удочку и откроет.
                                Причем и в случае например Снабженцев и ругаться вроде не за что, потому что, если человеку который постоянно принимает предложения от различных поставщиков с различных адресов, приходит «предложение на поставку». Он по должностной инструкции должен открыть и прочитать.
                                  +1
                                  Вы считаете, что письма счастья — это нечестно?
                                  А как же принцип, что внутренние угрозы гораздо более опасны, чем внешние, и защищаться от них тоже нужно?
                                    0
                                    По правильному, по уму понятно, что «враг» пойдет на любые извороты, что-бы достичь желаемого. Эти факторы обязательно должны учитываться.

                                    Но по эстетике — обман и мошеннические схемы это уже не настоящее хакерство.в чистом виде. Одурачить можно любого, вот провести чистый взлом сложной системы, без участия человеческого фактора — это искусство.

                                    ps. Кстати, а что если Позитивщикам, нанять пару амбалов, и вылавливать сидминов проверяемой компании по одному.
                                    И под графой «Осведомленность сотрудников», завести графу «Моральная стойкость и крепкость духа».
                                    Ну и частные примеры — «сдал все пароли при угрожающем слове — »Слышь", к работе с критическими данными не рекомендуется." :)

                                Only users with full accounts can post comments. Log in, please.