Специалисты Positive Technologies представили итоги анализа защищенности корпоративных систем российских и зарубежных компаний в 2017 году.
При проведении тестирования на проникновение от лица внутреннего злоумышленника исследователям во всех без исключения случаях удалось захватить полный контроль над инфраструктурой. При этом только в 7% систем сложность получения доступа к критически важным ресурсам оценивалась как средняя, обычно же полностью скомпрометировать всю корпоративную систему может нарушитель низкой квалификации. От лица внешнего злоумышленника, использующего, в числе прочего, методы социальной инженерии и атаки на беспроводные сети, удалось преодолеть сетевой периметр в 68% работ.
По сравнению с 2016 годом наблюдается тенденция к снижению сложности преодоления сетевого периметра. Если прежде сложность получения доступа к ресурсам локальной вычислительной сети оценивалась как тривиальная в 27% случаев, то теперь этот показатель вырос до 56%.
В ходе проектов по анализу защищенности выявлялись в среднем два вектора проникновения во внутреннюю сеть организации. Максимальное число обнаруженных векторов составило 10, а возраст самой старой выявленной уязвимости CVE-1999-0532составляет 18 лет.
Удобным способом проникновения в ЛВС являются беспроводные сети. По статистике, 40% компаний используют словарные пароли для подключения к своим сетям Wi-Fi. При этом 75% таких сетей доступны за пределами контролируемой зоны компании и в таком же количестве беспроводных сетей отсутствует изоляция между пользователями. Таким образом, чтобы эксплуатировать уязвимости в личных и корпоративных ноутбуках, взломщику даже не нужно физически находиться в офисе компании.
Как рассказали в Positive Technologies, еще одно слабое звено в защите корпоративных сетей — сотрудники, которые легко поддаются методам социальной инженерии: 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник запускает приложенные к письму зловредные файлы. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть важную информацию.
Получение полного контроля над всей инфраструктурой обычно начинается с малого: злоумышленник захватывает контроль над одной или несколькими рабочими станциями, используя недостаточно стойкие пароли, сетевые атаки либо уязвимости устаревших версий ОС. Дальше сценарий атаки довольно типовой: злоумышленник просто запускает специальную утилиту для сбора паролей всех пользователей ОС на компьютерах, которые уже контролирует. Как правило, некоторые из собранных паролей подходят к другим компьютерам, и нарушитель проделывает то же самое и на них. Так он проходит шаг за шагом по ресурсам компании, пока не получит пароль администратора домена, который позволяет закрепиться в инфраструктуре надолго и полностью контролировать самые важные системы.
Для противодействия внутренним нарушителям необходим комплексный подход к защите. Как минимум следует использовать только актуальные версии ОС и ПО, а также стойкие к подбору пароли для всех пользователей на всех ресурсах, особенно для администраторов. Рекомендуется также использовать двухфакторную аутентификацию для администраторов ключевых систем и не предоставлять сотрудникам административные привилегии на их компьютерах.