Даже неопытный хакер может взломать 8 из 10 крупных компаний

    Крупному бизнесу с каждым годом сложнее защищаться от кибернападений и все больше успешных атак может провести злоумышленник низкой квалификации. Такие выводы содержатся в исследовании компании Positive Technologies на основе тестов на проникновение, проведенных в 2013 году, и сравнения полученных данных с результатами аналогичного исследования за 2011—2012 гг.

    Для исследования были выбраны 14 систем крупных государственных и коммерческих компаний — как российских, так и зарубежных. Большинство из них относятся к сфере промышленности, также в список вошли телекомы, банки, строительные компании. Более трети исследованных компаний представляют собой распределенные системы с множеством филиалов в разных городах и странах.

    Согласно полученным данным, в 2013 году 86% корпоративных систем оказались подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами — платежными системами, электронной почтой, хранилищами персональных данных и документов, ERP-системами (например, SAP), АСУ ТП. Половина рассмотренных систем позволила получить полный контроль над критическими ресурсами со стороны внешнего злоумышленника. Для каждой третьей системы (29%), чтобы получить контроль над такими ресурсами, достаточно иметь доступ к пользовательскому сегменту внутренней сети.

    image

    Только 14% важнейших ресурсов защищены на практике, а не на бумаге

    Более половины (57%) систем, исследованных в 2013 году, содержали критические уязвимости, связанные с использованием устаревших версий ПО и ОС, что хуже результатов предыдущих лет (45%). Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В одной из систем была выявлена опасная уязвимость 9-летней давности (2004 год).

    image

    57% систем имеют критические уязвимости, которые легко устранить, установив обновления

    В среднем для преодоления периметра корпоративной сети внешнему атакующему в 2013 году требовалось использовать лишь две уязвимости (в предыдущие годы требовалось три шага). Для проведения атаки в 82% случаев хакеру достаточно иметь среднюю или низкую квалификацию.

    Уровень защищенности внутренних сетей тоже понизился по сравнению с 2011—2012 гг. Лишь в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критически важным ресурсам, а в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети.

    Подобное ухудшение ситуации связано с тем, что угрозы растут быстрее, чем защита: технологии киберзащиты почти не меняются, в то время как методы и инструменты злоумышленников развиваются очень активно.

    image

    Топ-10 уязвимостей возглавляют слабые пароли

    Как для внешних атак, так и для внутренних нарушителей самая распространенная уязвимость — слабые пароли. К примеру, пароль «123456» использовался администраторами внутренних сетей в каждой третьей системе.

    image

    Самые популярные пароли администраторов

    Впрочем, есть и позитивные новости: осведомленность сотрудников компаний в вопросах безопасности в 2013 году заметно улучшилась. Снизилось количество переходов по потенциально вредоносной ссылке, полученной в электронном письме (с 19 до 11%), значительно меньше стало случаев ввода учетных данных в фальшивые формы и запуска приложенных к письму файлов (4% против 18% в предыдущие два года). Однако количество пользователей, вступивших в онлайновый диалог с потенциальным злоумышленником, осталось на уровне прошлых лет (3%).

    Полный текст исследования «Статистика уязвимостей корпоративных информационных систем (2013 год)» можно найти на сайте исследовательского центра компании Positive Technologies.
    Positive Technologies
    112.50
    Company
    Share post

    Comments 19

      +11
      <offtopic>
      Диаграммы напоминают логотип Ubuntu

      image
        –8
        спасибо, кэп
        +5
        >>Топ-10 уязвимостей возглавляют слабые пароли
        А причем тут тогда хакеры? Вот так и стало это слово чуть ли не стебательным…
          0
          Подобрал пароль «123456» — ты хакер.
          Подобрал «admin» — кулхацкер :)
            0
            а как же «admin123»?
              0
              l33t h4x0r
          –1
          Самая лучшая защита — это отсутствие связи с внешним миром (доступа в интернет) и жесткий КПР во избежание использования СИ. В этом случае остается только «крот».

          Но такое используют только вояки и разведка :)
            0
            DMZ — вполне себе живучее и распространенное решение. Если инфраструктуру с уммом поднимать, то вполне ок. Надо просто исходить из того, насколько это необходимо, а дальше уже степень паранойи и кол-во бабла решает.
              0
              Один из пользователей подцепляет трояна и DMZ считай пробито…
                0
                ТОЛЬКО ПОЛНАЯ ИЗОЛЯЦИЯ, ТОЛЬКО ХАРДКОР

                Форточка во внешний мир есть — сеть уже может быть атакована из вне. Я же говорю об организации исключительно Интранета, доступ к которому можно получить только с территории «режимного» объекта. И я имею ввиду не только ВС, но, к примеру, интранеты в крупных корпорациях, например, разработка лекарств и охрана коммерческой тайны.
                  0
                  Очевидно же, что надо еще отобрать телефоны, флешки, поместить системные блоки в сейфы.
                  Людей уходящих и приходящих обыскивать и пропускать через рентген, в идеале стирать память вдруг что запомнят и злой хакер обманом это узнает.
              0
              Смотри-ка, фильм хакеры обучил админов не использовать самые распространённые пароли.
              Someone didn't bother reading my carefully prepared memo on commonly-used passwords. Now, then, as I so meticulously pointed out, the four most-used passwords are: love, sex, secret, and…… god
                0
                ну теперь они используют дату рождения, номер телефона, своё имя или чтотото что пришло в голову, и в лучшем случаем комбинируют их
              • UFO just landed and posted this here
                  0
                  А как тогда защитить IPv6-сеть? Использовать некое подобие NAT, но для IPv6?
                    0
                    Не выставлять сеть в интернет. Какое еще решение может быть? NAT должен остаться пережитком прошлого, тут нужен исключительно фаервол как глобальный на канал интернета предприятия так и персональные на местах(настраиваются согласно функции подзащитного устройства и могут быть достаточно сложны чтобы использовать в своей работе информацию о поведении приложений и используемых протоколов верхнего уровня).
                      0
                      Не выставлять сеть в интернет

                      Т. е. чтобы у рядовых сотрудников доступа к интернету вообще не было? А если он им всё-таки нужен?
                        0
                        Интернету это не мешает. Просто фаерволом запретить все входящие подключения кроме соответствующих им исходящих.
                    • UFO just landed and posted this here

                  Only users with full accounts can post comments. Log in, please.