По данным отчета, в 2019 году во всех протестированных компаниях удалось получить полный контроль над инфраструктурой от лица внутреннего нарушителя. Как правило, на это уходило около трех дней, а в одной сети потребовалось всего 10 минут. В 61% компаний был выявлен хотя бы один простой способ получить контроль над инфраструктурой, который под силу даже низкоквалифицированному хакеру.
Как отмечают эксперты, легитимные действия, которые позволяют развить вектор атаки, составили 47% от всех действий пентестеров. К ним относятся, например, создание новых привилегированных пользователей на узлах сети, создание дампа памяти процесса lsass.exe, выгрузка ветвей реестра или отправка запросов к контроллеру домена. Все эти действия позволяют получить учетные данные пользователей корпоративных сетей или информацию, необходимую для развития атаки. Опасность состоит в том, что такие действия сложно отличить от обычной деятельности пользователей или администраторов, а значит, атака остается незамеченной.
Как отмечают аналитики, в ходе атак во внутренних сетях для сбора учетных данных и перемещения между компьютерами, как правило, используются архитектурные особенности ОС и механизмов аутентификации Kerberos и NTLM. Например, учетные данные злоумышленник может извлечь из памяти ОС с помощью специальных утилит или встроенных средств ОС. Рекомендуется использовать актуальные версии Windows, а привилегированных пользователей домена включать в группу Protected Users. В современных версиях Windows 10 и Windows Server 2016 реализована технология Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Для дополнительной защиты привилегированных учетных записей, в частности администраторов домена, стоит использовать двухфакторную аутентификацию.
Для каждой компании перечень рисков существенно отличается, хотя есть и общие пункты, например компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов экспертам Positive Technologies удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты.
Тестирование также показало, что злоумышленник может эксплуатировать известные уязвимости, которые содержатся в устаревших версиях ПО и позволяют удаленно выполнить произвольный код на рабочей станции, повысить привилегии или узнать важную информацию. Чаще всего в ходе тестирования эксперты сталкивались с отсутствием актуальных обновлений ОС. Так, по данным пентестеров, в 30% компаний до сих пор можно обнаружить уязвимости Windows, описанные в бюллетене безопасности 2017 года, а в некоторых – даже 2008 года.