Компания Positive Technologies обнародовала результаты исследования состояния защищенности российских компаний, которое проводилось с помощью тестов на проникновение — пентестов. В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов. По результатам тестирования обнаружилось, что 96% организаций оказались не защищены от проникновения в локальную сеть — только в 4% исследованных организаций не был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа.
Внешний пентест
Анализ показал, что в 96% организаций пентестер смог преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов. В среднем же для преодоления периметра потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений — такие векторы были выявлены во всех без исключения компаниях. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей. Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО. Кроме того, в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений.
По данным исследования, при проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например к сведениям, составляющим коммерческую тайну. Киберпреступники могут продать такую информацию конкурентам компании-жертвы или использовать ее для того, чтобы потребовать выкуп за неразглашение. Помимо доступа во внутреннюю сеть компании, атака на ресурсы сетевого периметра может повлечь за собой и другие негативные последствия: например, дефейс веб-приложения, изменение информации на официальных ресурсах или размещение вредоносного кода для атаки на клиентов жертвы, получение учетных данных сотрудников и, как следствие, доступ к корпоративным ресурсам и почте с последующей рассылкой спама и фишинга.
«Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации, — пояснил аналитик Positive Technologies Яна Юракова. — В среднем на осуществление недопустимого события злоумышленникам потребовалось бы 10 дней. В некоторых случаях для этого даже не требовалось получать максимальные привилегии в домене. Большая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%)».
Внутренний пентест
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации было возможно в 68% компаний. В качестве корпоративных секретов выступали, к примеру, персональные данные клиентов и базы данных компаний. В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики. В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО.
Эксперты компании представили в исследовании тепловую карту MITRE ATT&CK, где показаны популярные техники и методики, которые успешно использовались пентестерами Positive Technologies. В компании считают, что такая карта может быть особенно полезна специалистам по оперативному реагированию на инциденты и лицам, ответственным за информационную безопасность, ведь пентестеры имитируют действия реальных злоумышленников. Зная подходы преступников, можно обеспечить превентивную защиту и уделить особое внимание мониторингу и реагированию на инциденты. Наиболее важной рекомендацией экспертов компании является предложение внедрить строгую парольную политику, а также использовать двухфакторную аутентификацию для доступа к критически важным ресурсам.
