При внешнем тестировании на проникновение экспертам удалось преодолеть сетевой периметр 92% организаций, а от лица внутреннего нарушителя был получен полный контроль над инфраструктурой во всех исследуемых системах.
В большинстве компаний было выявлено несколько способов (векторов) проникновения во внутреннюю сеть.
По данным исследования компании Positive Technologies, в среднем на одну систему приходилось два вектора проникновения, а максимальное число векторов, обнаруженных в одной системе, — пять. Как правило, проникнуть во внутреннюю сеть организации можно с использованием известных недостатков безопасности, что не требует от злоумышленника глубоких теоретических знаний.
«Один из распространенных вариантов успешных атак в ходе тестирования — обнаружение в сетевом периметре интерфейсов систем, которые должны быть доступны исключительно из внутренней сети, — говорит аналитик Positive Technologies Екатерина Килюшева. — Например, доступная из интернета система видеонаблюдения может позволить злоумышленнику не только просматривать видео с камер, но и выполнять произвольные команды на сервере. Это показывает, как важно правильно определять границы сетевого периметра и следить за состоянием защищенности каждого компонента системы. Мы рекомендуем ограничить количество сервисов на сетевом периметре, а также убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям. Не менее важно убедиться, что в открытом виде не хранится чувствительная информация — учетные данные для доступа к различным ресурсам, адресная книга компании и т. п. Чтобы следить за эффективностью принимаемых мер защиты, мы рекомендуем регулярно проводить тестирование на проникновение».
Как сообщают специалисты, во всех протестированных компаниях главную проблему на сетевом периметре представляют уязвимости в коде веб-приложений. В целом с недостаточной защитой веб-ресурсов связаны 75% векторов проникновения. В половине компаний для преодоления периметра требовался всего один шаг, и чаще всего он заключался в эксплуатации уязвимости в веб-приложении.
«Чем сложнее веб-приложение и чем больше у него функций, тем выше вероятность того, что разработчики допустили в коде ошибку, которая позволит злоумышленнику провести атаку, — отмечает Екатерина Килюшева. — Частично такие ошибки выявляются при тестировании на проникновение, но наибольшее их число может быть выявлено только при проверке приложения методом белого ящика, подразумевающим анализ исходного кода. Для исправления уязвимостей обычно требуется внести изменения в код, на что может потребоваться значительное время. Чтобы бизнес-процессы не останавливались, рекомендуется применять межсетевой экран уровня приложений (web application firewall), который не позволит эксплуатировать уязвимость, пока ее не устранили, а также защитит от новых и не найденных уязвимостей».
Во всех исследуемых системах был получен полный контроль над инфраструктурой от лица внутреннего нарушителя. Помимо этого эксперты получили доступ к критически важным ресурсам, в том числе ресурсам АСУ ТП, SWIFT, к управлению банкоматами.
Эксперты отметили, что типовой вектор атаки во внутренней сети строится на подборе словарных паролей для доступа к компьютерам и последующем запуске специальных утилит, которые собирают учетные записи всех пользователей ОС. Полученные учетные записи могут использоваться и на других компьютерах; таким образом злоумышленник перемещается по сети от одного компьютера к другому. Отсутствие обновлений, особенно связанных с устранением критически опасных уязвимостей, также помогает злоумышленнику развивать атаку. Во внутренней инфраструктуре компаний чаще всего встречались уязвимые версии ОС: они были выявлены в 44% протестированных систем.
Проводились и проверки методами социальной инженерии, которые моделировали фишинговую атаку на компанию. Для этого рассылались специальным образом сформированные электронные письма, содержащие вложенные документы или ссылки на веб-ресурсы. Результаты таких проверок показали, что каждый третий сотрудник рискует запустить вредоносный код на своем рабочем компьютере, каждый седьмой может вступить в диалог со злоумышленником и выдать конфиденциальную информацию, а каждый десятый сотрудник вводит свои учетные данные в поддельную форму аутентификации.
Анализ также подтвердил, что беспроводные сети остаются потенциальным вектором проникновения во внутреннюю инфраструктуру компании. В 87% протестированных систем беспроводные сети были доступны за пределами контролируемой зоны — из ближайшего кафе, с парковки или из гостевой зоны на проходной. В 63% систем эксперты получили доступ к локальной сети через беспроводные сети.