В большинстве корпоративных сетей могут быть следы работы хакеров и соответствующие уязвимости

    Мы решили обсудить ряд факторов, отрицательно влияющих на защищенность сетей в компании, — медленной установке патчей, невыполнении регламентов ИБ и отсутствии шифрования.


    / Unsplash / Clint Patterson

    Ситуация с (не) безопасностью сетей


    Сетевая инфраструктура компаний строится на корпоративных маршрутизаторах. Они подключают офисы друг к другу и облаку и отвечают за безопасность соединения. Однако порой с ними возникают сложности. Проблему с одним из таких устройств обнаружили специалисты китайской ИБ-компании Qihoo 360. По их словам, группа неизвестных хакеров использует уязвимость в механизме авторизации, чтобы следить за почтовым и FTP-трафиком.

    Злоумышленники инжектируют вредоносный код в поле для ввода логина в панели управления роутера. Когда пользователь входит в систему, запускается особый скрипт, расположенный по адресу http://103.82.143.51:58172/vig/tcpst1. Оттуда загружается вредонос, который дает хакерам контроль над девайсом и доступ к корпоративной сети.

    Злоумышленники следят за трафиком на портах 21, 25, 110 и 143 (для работы с протоколами FTP, SMTP, POP3 и IMAP) и собирают различные аутентификационные данные, передаваемые по сети в открытом виде. В перспективе их могут использовать для проведения более серьезных атак.

    Свежие посты из нашего блога на Хабре:


    К сожалению, компрометация данных в корпоративных сетях происходит гораздо чаще, чем того хотелось бы. По словам экспертов из Dell, за последний год 63% компаний столкнулись с утечкой из-за уязвимости в той или иной аппаратной платформе. При этом аналитики одной международной ИБ-компании говорят, что подозрительная активность (сокрытие трафика, подключение к TOR, проксирование) присутствует в сетях 97% организаций.

    В чем причина


    Долгая установка патчей. Чаще всего злоумышленники используют для взлома уже известные уязвимости ПО, с существующими корректирующими патчами. Подобные атаки успешны, поскольку в среднем организации тратят несколько месяцев на установку «заплаток».

    Например, апдейт для роутеров, с которыми работает вышеупомянутая группа хакеров, был выпущен еще в середине февраля. Однако к сети все еще подключены 100 тыс. устройств без обновленной прошивки.

    Отчасти задержка связана с недостатком квалифицированных кадров. Как пишет The New York Times, в 2021 году на рынке будет 3,5 млн незакрытых вакансий, связанных с информационной безопасностью. Для сравнения, в 2014 году эта цифра держалась на уровне одного миллиона. На скорость патчинга также влияет плохая автоматизация процессов. Есть компании, которые хранят информацию о необходимых патчах в Excel. Одна организация из Fortune 100 даже сформировала специальный отдел, заполняющий электронные таблицы инфомрацией об уязвимостях.

    Невыполнение рекомендаций по ИБ. В список наиболее частых «просчетов» входят: запуск неизвестных файлов, полученных по электронной почте, и переходы на подставные сайты. Поэтому сегодня фишинг является причиной 91% всех кибератак.

    Отсутствие шифрования данных. Незашифрованная передача ПД открывает дополнительные векторы атаки для злоумышленников. Учитывая, что 95% корпоративных сетей были хотя бы раз скомпрометированы, объем украденной информации не поддается измерению. Но все утечки ПД из компаний Fortune 500 уже называют «крупнейшей передачей собственности» в истории.

    Как можно исправить ситуацию


    В первую очередь эксперты по информационной безопасности рекомендуют руководителям проводить курсы базовой кибергигиены как для рядовых сотрудников, так и ИТ-специалистов. Чтобы знания лучше усваивались, можно прибегнуть к методам геймификации. PWC Australia уже проводит среди клиентов игру Game of Threats, симулирующую сценарии реальных кибератак. В ней команда хакеров атакует сетевую инфраструктуру, а команда защитников старается им помешать.


    / Unsplash / Clint Patterson

    Аналитики из Ponemon Institute и ServiceNow говорят, что 48% компаний могли избежать утечек в прошлом, если бы вовремя пропатчили ту или иную систему (стр.5). Своевременная установка патчей усложняет работу злоумышленников и закрывает критические векторы атак. Поэтому ИБ-специалисты рекомендуют автоматизировать процесс обновления программного обеспечения, когда система сама скачивает и устанавливает патчи из интернета. Сисадминам остается лишь следить за их корректной работой.

    Пара материалов из нашего корпоративного блога на сайте VAS Experts:

    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 3

      0
      Учитывая, что 95% корпоративных сетей были хотя бы раз скомпрометированы, объем украденной информации не поддается измерению. Но все утечки ПД из компаний Fortune 500 уже называют «крупнейшей передачей собственности» в истории.

      Интересно куда эта собственность перешла и кто и как ей воспользовался?

        0
        Если носители с исходной информацией не украли, значит информацию не украли а скопировали.
          0
          А оно так и работает — сначала скопировали, потом украли.
          Монетизировать все эти штуки можно довольно лихо — от тривиальной установки криптолокеров до всякого промышленного шпионажа. Сейчас даже опенсорсные криптолокеры есть, ставь не хочу.

          Телефонный трафик можно увести с порабощенной АТС куда-нибудь на Кубу — покупатели на это дело всегда есть. Протроянить машины с клиент-банком и увести бабки, подменяя номера счетов в буфере обмена. Да в конце концов — можно всегда проснифать клавиатуру на клиентских устройствах и вытащить кучу приватных данных других сотрудников, и далее развлекаться с ними на своё усмотрение.

          Патчи не панацея, но процентов 90 малвари отметается именно ими.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое