40% организаций хранит администраторские пароли в таблицах и текстовых файлах



    Исследователи CyberArk опросили 750 ИТ-компаний и разработчиков решений в сфере кибербезопасности по всему миру. География исследования обширна – США, Франция, Германия, Великобритания Израиль, Австралия, Новая Зеландия и Сингапур. По данным опроса, 40% организаций хранит пароли в документах Word и электронных таблицах. Речь идет не о простых, а о привилегированных и администраторских паролях. 28% для этой цели применяют USB-накопители или специально предназначенный для общего пользования сервер.

    55% респондентов рассказали, что у них развернуты все необходимые процессы для управления привилегированными аккаунтами.

    79% опрошенных заявили, что усвоили уроки недавних кибератак и приняли соответствующие меры:

    • в 25% случаев увеличилось число установок средств обнаружения вредоносных программ (malware detection);

    • в 24% случаев организации стали чаще использовать защиту для конечных устройств (endpoint security);

    • в 16% случаев повысилось количество установок систем аналитики информационной безопасности (security analytics).

    Три четверти разработчиков ИТ-решений по кибербезопасности верят, что могут предотвращать атаки на свою внутреннюю сеть. 82% полагают, что эта отрасль существенно прогрессирует в последнее время. Ранее с этим были согласны только 44%.

    Тем не менее, 36% опрошенных считают, что их сети были заражены в течение последних 12 месяцев, либо заражены сейчас. 46% свидетельствуют, что их компания становилась жертвой кибервымогателей (ransomware attack) в течение последних двух лет.

    У 95% опрошенных компаний есть план реагирования на кибератаки. Но только 45% обсуждают его и регулярно проводят «учения» с участием всех сотрудников.

    68% респондентов считают главной проблемой потерю данных о клиентах в результате кибератаки. 57% опрошенных хранят данные в облаке, но не уверены в том, что провайдер сможет защитить их от злоумышленников.

    По оценке «масштаба трагедии» кибератак респонденты распределились следующим образом:

    • DDoS – 19%
    • Фишинг – 14%
    • Кибервымогательство – 13%
    • Захват и использование привилегированных аккаунтов – 12%
    • Внешние атаки, нарушение целостности периметра (perimeter breaches) – 12%

    Вместе с тем, предыдущее исследование Varonis показывает, что лишь 39% сотрудников верят, что предприняты все необходимые меры по обеспечению безопасности. В 2014 году это мнение поддерживали 56%. Исследователи опросили 3 тысячи сотрудников ИТ-компаний США и Европы.

    Согласно исследованию института Ponemon, 61% ИТ-специалистов полагают, что защита от кибератак – задача с высоким приоритетом. Среди простых пользователей это мнение разделяют только 38%.

    Основатель и директор института Ponemon Доктор Ларри Понемон считает, что из-за такого отношения простых пользователей задача по защите информации усложняется.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Становилась ли ваша компания жертвой кибератак в течение последних 2 лет?

    • 30,3%Да94
    • 69,7%Нет216

    Достаточные ли на ваш взгляд меры информационной безопасности применяются в вашей компании?

    • 7,4%Даже слишком24
    • 22,8%Достаточные74
    • 29,5%Как у всех96
    • 40,3%Явно недостаточные131

    Какой вид угрозы вы считаете наиболее опасным?

    • 9,0%DDoS30
    • 13,2%Фишинг44
    • 18,0%Кибервымогательство60
    • 40,5%Захват и использование привилегированных аккаунтов135
    • 19,2%Внешние атаки, физическое проникновение64
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 52

      +2

      А где их еще хранить, когда выдается пароль вида "RBlplh8pRWlcX3QNcLAB", принудительно меняется раз в полгода, а установить свой нельзя.

        0
        В каком-нибудь PasswdSafe?
          +2
          А если вы работник бухгалтерии с 20-летним стажем и вам надо логиниться в Windows?
            0
            Я не работник бухгалтерии, но по впечатлениям от посещений этих отделов: все работники бухгалтерии всегда ухитряются прятать деньги (и даже небольшие) в личные сейфы так, что и свои не украдут. А кто/что мешает им прятать в сейф список паролей? ИМХО привычки нет. И достаточно часто менять пароли — нет привычки. Но у многих уже сложилась привычка к паролям типа 12345678 :) М.б. сканер отпечатка пальца и электронный ключ, которые с теоретической точки зрения довольно слабая защита, в сложившийся ситуации защита наиболее эффективная? ;)
              +8
              Вы не работник бухгалтерии.
              А мешает им прятать пароли в сейф простая банальность, пароли нужны гораздо чаще (ведь заботливый администратор настроил автоматический блокировщик экрана), а деньги положил и пускай лежат хоть месяц.

              Пароли вида 123456, это не проблема привычки, а проблема усталости от паролей, поэтому эпл даже адаптировала последние версии своих ОС чтобы можно было делать разблокировку просто подойдя к компьютеру с часами.

              Фрактал боли начинается когда приложение яндекс.денег при запуске просит у вас сначала пин-код, а потом ещё и пароль для совершения платёжных операций. И ещё банковское приложение просит пин-код. И ещё пароль на VPN. А VPN не настроить без установленного пин-кода/пароля на телефон. Всё это добро надо держать в голове и/или менеджере паролей (а парочка другая паролей должна быть в голове в любом случае + пароль от архива с паролями).

              А потом от обилия паролей ваш самсунг взрывается — да-да, это не в батареях дело)
                0
                Ооочень согласен, хоть и не работник бухгалтерии :)

                ИМХО блокировщик отключить! Это издевательство при никакой защите. Яндекс-деньги давно не использую, может им, как банкам, на SMS-пароли перейти? Менеджере паролей ИМХО не выход, но м.б. иногда полезен (частично).
                +2
                сканер отпечатка пальца

                Если такой пароль скомпрометирован, то хрен ты его сменишь.
                  0
                  Ok. Именно поэтому я и написал:

                  с теоретической точки зрения довольно слабая защита
                0
                А зачем ему админский пароль?
              +1
              Раз в полгода? Почему так редко?
                0
                Да, уж! Существует отличная от нуля вероятность, что за полгода сравнительно небольшая группа хакеров (примерно в миллион человек) простым перебором найдет пароль «RBlplh8pRWlcX3QNcLAB» ;) Согласен, что лучше не вычислять невероятность такого события, а сильно чаще менять пароли. И что пароль должен быть удобным, если не для запоминания, то для набора. Нпр., четыре буквы, четыре цифры, четыре буквы и т.д. И не надо при генерации слишком скакать по регистру «большие/малые буквы».
                +1
                ИБ взяли за руководство список антипаттернов?
                  0

                  Нет, наоборот из каких то рекомендаций по безопасности.
                  Не знал что наконец то стали считать "это" антипаттернами.

                +2
                Особо радует когда пароли меняют из-за секурности, но при этом на рабочем компе никаких KeePass или их аналогов запускать нельзя. Вот и остается вариант с текстовым файлом. Ну или записочка на компьютере, если паролей мало и меняются они не часто
                  +1

                  На текущей работе есть предустановленный KeePass. Толку ноль, почти никто не пользуется, а пароли продолжают хранить везде где только можно: на сетевой шаре, в почте, в документации к ПО.

                    0
                    KeePass — отличная программа, но автор (Dominik Reichl) честно признает, что у нее принципиальные ограничения, присущие всем менеджерам паролей. От шпионов клавы и мыши она не спасет. И как в ней хранить пароль входа в ОС, т.е. хранить можно, но как использовать? :)
                      0
                      от шпионов клавы и мыши не спасет ничего, разве только пластилиновая печать на разъем, и проверять ее каждое утро
                      0
                      Если есть реальная производственная необходимость, то на работе можно сделать банковскую систему подтверждения одноразовым паролем, получаемым сотрудником на личный мобильник по SMS. Пока не подтвердишь — в систему не войдешь.
                        0
                        мобильник может сесть, сломаться, потеряться. Смс может идти больше минуты. Безопасность канала зиждется на вашем доверии ОПСОСу, были случаи когда этим доверием пользовались.
                        Поскольку решение всё равно за деньги, то есть требует похода к начальству и доказательства, зачем это вообще надо — лучше уж токены с генератором паролей брать.
                          0
                          А токены не ломаются и не теряются? Сейчас в основном ставят программные OTP на смартфоны с возможностью переключения на SMS (Azure MFA).
                            0

                            В одном банке где я работал, пытались ввести вход в систему по смарт-картам, в итоге отказались, даже не знаю причины отказа от этого — просто вернулись к паролям

                    +2
                    Как разработчики менеджера паролей для компаний могу сказать, что решений на рынке (по менеджменту корпоративных паролей) в целом немало, где-то 10-15 решений. Практически все решения созданы зарубежными компаниями и их стоимость может достигать десяток тысяч долларов, хотя есть и вполне доступные для российского рынка.

                    Мы общались с несколькими десятками технических директоров, и ни для кого из них проблема хранения паролей не была актуальной (а где-то треть вообще не понимали зачем это надо).

                    Еще один нюанс характерный для российский компаний — это зона ответственности, т.е. кому сделают атата за забытый пароль от доменного сервера. Пожурят админа или лишат премии, а начальники как лица принимающие решения при этом не страдают.

                    Плюс разработчикам необходимо иметь лицензии ФСБ на разработку продуктов с криптографией. Вообще, вся тема с лицензированием достаточно запутанная, не говоря уже про внедрение таких решений госам.
                      0
                      Кроме госов и квазигосударственного сектора пока есть еще и частное предпринимательство.
                        0
                        Какие ограничения и обязанности накладывает лицензия?
                          +1
                          Есть ряд формальных требований для того, чтобы получить лицензии на разработку (например, требования к помещению, сотрудникам в штате с нужным образованием). А лицензия нужна, чтобы разрабатывать ПО с криптографией (есть несколько исключений, когда лицензии не нужны, например, если длины ключей меньше 56 бит).

                          Вообще, вся ситуация достаточно запутанная, одни эксперты инфобеза говорят, что лицензии нужны всегда, если есть криптография (о чем собственно и написано в законе), другие утверждают, что лицензии необходимо получать, если вы хотите лицензировать свой продукт, т.е. как бы официально доказать, что у вас все в порядке (ну и госы могут использовать только лицензированные продукты).

                          Более детально в «Положение о лицензировании деятельности по
                          разработке, производству, распространению шифровальных (криптографических)
                          средств, ...)» (утв. постановлением Правительства РФ от 16 апреля 2012
                          г. N 313)
                            0
                            В реальности всё намного проще, а можно за небольшую мзду нанять подрядчика с нужной лицензией.
                              0
                              Любопытно. Под это постановление попабают уэб-студии, которые хешируют пароли пользователей в системах напродажу.
                                +1
                                Не уверен, там есть исключения (в частности про шифрование credentials, это типа делать можно). Так же если вы используете средства операционной системы, то лицензии вам не нужны. Т. е. если например вы используете openssl или mcrypt библиотеки, который как бы установлены в ОС, то все ок. А вот если вы сами реализуете криптоалгоритмы, тогда попадаете под действие закона
                            0
                            >> Мы общались с несколькими десятками технических директоров…
                            Где админы и где СТО… Проблемы афроамериканцев шерифа не интересуют.
                            +5
                            Прошу прощения, продолжение.
                               У нас в компании принято сдавать на хранение пароли привилегированного доступа в опечатанном конверте в сейф директора по безопасности. В 2001 году однажды пригодилось, когда администратор одной из систем трагически погиб.
                              +5
                              в одной конторе, тоже было принято было хранить в сейфе ИБ, а когда админ
                              слинял, то вскрыли конверт и там на каждом листе А4(6шт) было написанно мелким шрифтом *уй вам, а не пароли. )=
                                +1

                                Кадровая политика тоже проблема ИБ. Как и кого куда нанимать / увольнять / переводить входит в СУИБ.

                                  +2
                                  так перед увольнением должны были сменить пароли, а не после ;)
                                +2
                                Большая часть культуры хакеров не спроста строится на социальной инженерии.
                                  0
                                  Верно. Только слово «культура» представляется не совсем подходящим: культура хакеров = культура взлома. Можно сказать: культура незаметного изъятия денег из карманов прохожих, культура проникновения в чужую квартиру посредством форточки и т.д.? ;)
                                    +1
                                    Хакерство — культура и философия. Кража денег с кредиток — преступление.
                                    Боевые исскуства — культура и философия. Нанесение тяжких телесных — преступление.
                                    Ваш Кэп
                                      0
                                      Насколько мне известно хакеры исследуют уязвимости и недокументированные возможности ПО. Это американизированный неологизм в общем случае обозначающий гуру в области информационной безопасности. Когда хакер занимается взломами, то он автоматически становится кракером.
                                        0
                                        Выше Вы сказали:
                                        Большая часть культуры хакеров не спроста строится на социальной инженерии.

                                        Насколько мне известно хакеры исследуют уязвимости и недокументированные возможности ПО.
                                        Отсюда следует, что хакеры исследуют уязвимости и недокументированные возможности ПО методами социальной инженерии?

                                        В рувики подробная статья Хакер, основанная на вполне авторитетных источниках типа RFC 1983.
                                          0
                                          Отсюда следует, что хакеры исследуют уязвимости и недокументированные возможности ПО методами социальной инженерии?

                                          А разговорить пьяного разработчика за кружкой пива в баре? А фишинг? Он основан на особенности нашего мозга додумывать слова с похожей лексикой. И это как раз социальная инженерия. Многие трояны распространяются только благодаря социальной инженерии, когда пользователь устанавливает софт который маскируется под приличные программы. Можно применить эффект толпы, когда зловредное ПО распространяется с сайта набитого хвалебными фейковыми отзывами. Прочитайте книгу Р.Чалдини «Искусство манипуляций», откроете очень много интересных моментов из нашей жизни, которыми пользуются и хакеры в том числе.
                                            0
                                            Я знаю, что социальная инженерия очень помогает взломщикам и с этим не спорю. Но не понял, как социальная инженерия помогает, когда «исследуют уязвимости и недокументированные возможности ПО»? Нпр., будет ли директор банка нанимать хакера, чтобы тот пытался разговорить пьяного разработчика за кружкой пива в баре? Думаю, что если директор и наймет хакера, то наймет, чтобы тот проверил чисто технические возможности взлома типа перебора паролей, а не болтливость разработчика.
                                              0
                                              Если нанимать, то для проверки возможности взлома. Какая разница что в конторе все пароли неподбираемые, если есть возможность позвонить Пете, представится Васей и попросить его продиктовать пароль, так как «забыл, а нужно срочно что-то сделать». И Вася на раз-два этот пароль продиктует.
                                                0
                                                Чтобы Петя не болтал лишнего не нужно нанимать взломщика-тестера, а нужно оговорить в контракте и должностных инструкциях ответственность Пети. Дело нанятого для тестирования взломщика — искать дыры в ПО, а не проверять Петю на верность фирме. Т.к. дыры в ПО — вещь постоянная, пока их не заткнут, а Петя — временный: сегодня Петя, а завтра он уволится, и на его месте будет Лена, а через некоторое время она уйдет в декретный отпуск. И что? Каждый раз при смене каждого из ответственных работников взломщика нанимать? Кроме того такие испытания вряд ли вскроют все возможные при реальном взломе подходы. Нпр., Петя может не так сильно любить пиво, чтобы сообщить под него что-то секретное, но может слишком сильно любить деньги. Вряд ли наемный тестер сможет предложить ему адекватную сумму. Сильнее пива Петю могут интересовать симпатичные девушки и что он не скажет взломщику, проболтает взломщице и т.д.
                                                  0
                                                  Уверен, что у 90% пользователей, у которых пароли висят на мониторе в контракте указано, что они не должны эти пароли никому сообщать. Но это не мешает им так делать.
                                                  Проверка зависит от того, что хочет тот, кто нанял проверяющего: выявить дыру в безопасности или отсчитаться об успешности проверки.
                                                    0
                                                    Несоблюдение контракта и дисциплины на рабочем месте — проблема начальства, а не стороннего тестера. Возможно, что есть конторы, где у 90% пользователей не только пароли висят на мониторах, но они регулярно опаздывают на работу, часами занимают рабочий телефон по неслужебным вопросам, курят и распивают алкогольные напитки на рабочем месте и т.д. Выявление и устранение подобных нарушений по силам администрации, сторонних тестеров для этого приглашать не нужно.
                                                      0
                                                      По хорошему пароли вообще записывать нельзя. Но запомнить пароль в котором
                                                      -не менее 2 цифр
                                                      -не менее спецсимволов
                                                      -не менее двух букв в верхнем регистре
                                                      -не менее двух букв в нижем регистре
                                                      и пароль не менее 8-10-16 символов
                                                      не все могут
                                                        0
                                                        Верно. И 10 (а тем более 8 символов) — плохие пароли при современных скоростях компов.
                                    0
                                    «хранит пароли в документах Word и электронных таблицах.» — это же неудобно! Всегда хранил пароли в реляционной базе данных. А пароль к серверу СУБД — в CSV.
                                      0
                                      А все по тому, что нормального решения по хранению паролей для большинства компаний просто нету.
                                        +1
                                        Но только 45% обсуждают его и регулярно проводят «учения» с участием всех сотрудников.

                                        Если это так, то это просто здорово. Рад за них.

                                        А насчет того, где хранить пароли — какая разница, хоть в текстовом файле, хоть в таблице, хоть в базе. Есть же KeePass (Vera(True)crypt и др.). Только я не уверен, что KeePass поможет для входа в Windows в той же бухгалтерии, но и речь в заголовке статьи в общем-то, не про это.

                                        В качестве меры по борьбе с паролями на вход (если уж это действительно нужно): смарт-карты. Не так дорого, но намного действеннее, чем всякие политики по сложности паролей. Рядовой пользователь не должен быть всерьез озабочен 10+ символьными паролями, новыми каждые 6 месяцев. Для этого есть голова у ИТшника и директора. Имхо, конечно.
                                          0
                                          Рискую показаться старомодным, но я свои пароли записываю в блокнот. Заодно удовлетворяю свою потребность в структурировании и педантизме. Зато ни у одного хакера не получится взломать мой «менеджер паролей» :)
                                            0
                                            Не надо быть хакером, с этим и уборщица справится.
                                              0
                                              Не, не справится уборщица. По причине отсутствия уборщицы:) Я ИП и работаю один.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое