Positive Technologies

Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, а половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные, включая сайты банков и государственных организаций.

Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний – 74%. Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).

Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.

Еще одно важное наблюдение? веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем. Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию.

В исследовании отмечается, что популярность электронных финансовых инструментов в России за последний год заметно выросла благодаря развитию бесконтактных систем оплаты: к уже привычным PayPass и payWave присоединились технологии NFC-платежей с помощью смартфонов — Apple Pay и Google Wallet. Однако безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений. При этом в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

В 2016 году доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска — на 18%. При этом в продуктивных системах выявлено почти вдвое больше уязвимостей, чем в системах, находящихся в разработке. А финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

71% систем онлайн-банкинга имеют недостатки в реализации двухфакторной аутентификации. При этом 33% приложений содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну.

Что касается мобильных банков, то в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.

В этом году в отчет Positive Technologies также вошла статистика по защищенности автоматизированных банковских систем, которые обычно считаются недоступными для внешнего злоумышленника. Однако на практике две трети уязвимостей, выявленных в АБС, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Подобный доступ дает возможность злоумышленнику, оставаясь незамеченным, проводить любые мошеннические операции, связанные с деньгами: например, заводить новые счета и указывать на них любое количество денег, или же подменять платежные поручения, отправляемые в Центробанк.

Среднее число зарегистрированных инцидентов информационной безопасности в день в госучреждениях составляет 2160, в ИТ-компаниях — 1516, в финансовых компаниях — 528 инцидентов.

Целью половины атак на государственные учреждения являлся доступ к важным данным. Наиболее ценным информационным ресурсом в государственных учреждениях являются персональные данные, поэтому атаки направлены либо на пользователей приложений, либо на получение доступа к базам, где хранится такая информация. Задачей злоумышленников при атаке на финансовые организации является кража денежных средств. Большинство атак направлены либо на получение доступа к чувствительным данным, либо на получение контроля над сервером.

Нарушителями же в сфере образования часто являются сами учащиеся, которые стремятся либо получить доступ к данным, например к экзаменационным материалам, либо изменить текущую информацию, например результаты экзаменов или стипендиальные списки.

Наиболее часто в первом квартале 2017 года встречались атаки «Внедрение операторов SQL» и «Межсайтовое выполнение сценариев», каждая составляет примерно треть от общего числа зафиксированных атак. Если атака «Внедрение операторов SQL» используется для получения доступа к чувствительной информации или выполнения команд и дальнейшего проникновения в систему, то атака «Межсайтовое выполнение сценариев» направлена на пользователей приложений. Возможность проведения атак на пользователей вышла на первое место в рейтинге самых распространенных угроз веб-приложений в прошедшем году.

Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах. Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%).

Наибольшее число атак было направлено на государственные организации – на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования, медицинские учреждения и сфера услуг, промышленные и оборонные предприятия.

Большинство атак — 40% — были нацелены на ИТ-инфраструктуру компаний. Преимущественно, злоумышленников интересовала информация, которую можно продать на черном рынке (например, персональные данные, данные владельцев платежных карт). Однако эксперты отмечают снижение интереса киберпреступников к персональным данным и, соответственно, снижение их стоимости, что может быть связано с перенасыщением рынка.

Второе место по распространенности заняли атаки на веб-приложения (33%), которые открывают перед злоумышленниками множество возможностей: от получения конфиденциальной информации до проникновения во внутреннюю сеть компании. Большинство веб-атак были реализованы через уязвимые компоненты (устаревшие библиотеки и CMS-системы), хотя уязвимости веб-приложений также эксплуатировались. Специалисты Positive Technologies в начале 2017 года зафиксировали множество атак на сайты государственных организаций и различных коммерческих компаний.

Существенно увеличилось и число атак на POS-терминалы (3% от всех атак), превысив показатели первого квартала 2016 года почти в шесть раз. При этом злоумышленники использовали средства удаленного администрирования и трояны.

Если говорить о наиболее популярных методах атак, то на первом месте по-прежнему использование вредоносного ПО. Эксперты отмечают появление модели «вымогатели как услуга»: создатели программ все чаще не являются организаторами атак, а зарабатывают на их продаже преступным группировкам. Таким образом, разработчики, получив прибыль от продажи, могут готовить новый троян в то время, как другие преступники занимаются непосредственно реализацией атаки.

Что касается DDoS-атак, то в первом квартале 2017 года их мощность существенно увеличилась в связи с подключением к ботнетам все большего количества устройств Интернета вещей. Так, в марте 2017 года было обнаружено очередное вредоносное ПО, направленное на IP-камеры, системы видеонаблюдения и сетевые записывающие устройства. Кроме того, было выявлено свыше 185 тыс. уязвимых IP-камер, которые также могут оказаться частью нового ботнета.

Одна из самых распространенных проблем безопасности корпоративных сетей Wi-Fi — использование словарных паролей, которые легко подобрать. С ними исследователи Positive Technologies сталкивались практически во всех проектах по анализу защищенности ИТ-инфраструктуры.

Кроме того, часто встречаются и ошибки конфигурирования сетей, расширяющие возможности нарушителя для проведения атак. К таким недостаткам безопасности относится отсутствие ограничения мощности сигнала беспроводных маршрутизаторов, в результате которого подключение к сети компании можно осуществлять вне пределов контролируемой зоны — из соседнего здания или с парковки. Это, например, позволяет хакерам проводить атаки на устройства сотрудников компании за пределами контролируемой зоны и перехватывать аутентификационные данные для доступа к корпоративным ресурсам.

Помимо этого, как показывает опыт работ по анализу защищенности, во многих случаях после подключения к гостевой сети может быть получен доступ к другим сетевым сегментам, в том числе к ресурсам локальной сети.

Часто бывает, что в компании ограничен доступ к Интернету для сотрудников, заблокированы отдельные веб-ресурсы. Чтобы обойти эти ограничения, работники подключаются к нужным им сайтам со смартфонов. А для большего удобства они могут разворачивать на смартфоне беспроводную точку доступа, к которой подключают рабочую станцию и пользуются интернет-ресурсами через такое несанкционированное соединение, которое никак не защищено. В ходе работ по анализу защищенности беспроводных сетей на каждом объекте в 2016 году выявлялись в среднем три несанкционированные точки доступа. В одной из компаний обнаружено сразу семь таких точек.

Как подчеркивают аналитики, отказываться от использования Wi-Fi не нужно, гораздо более эффективный метод — внедрение комплексного подхода к обеспечению информационной безопасности. Важно уделять внимание повышению осведомленности сотрудников в вопросах безопасности, а также перекрывать потенциальные векторы атак на Wi-Fi — например, внедрять безопасные методы аутентификации с проверкой сертификатов, ограничивать доступ клиентов гостевой сети, проводить регулярный анализ защищенности беспроводных сетей, выявлять и отключать несанкционированные точки доступа.

При тестировании на проникновение моделируется поведение потенциальных нарушителей, что позволяет оценить реальный уровень безопасности системы и выявить конкретные недостатки механизмов защиты, в том числе и те, которые могут остаться незамеченными при использовании других методов аудита. В отчете, выпущенном экспертами Positive Technologies, представлено более десятка типовых сценариев атак, которые успешно моделировались в тестированиях, проводившихся за последние три года для крупнейших компаний как в России, так и за рубежом. В список сценариев вошли как простые атаки, не требующие специальных инструментов, так и более сложные – например, обход двухфакторной аутентификации, которая традиционно считается надежным методом защиты.

В целом, подобные сценарии атак позволяют экспертам компании получать полный контроль над локальной вычислительной сетью во всех проектах тестирований от лица внутреннего нарушителя, а в случае моделирования внешнего нарушителя преодолеть периметр удается в 80% проектов.

Поскольку аналогичные техники применяют и реальные злоумышленники для целевых атак, тестирование на проникновение позволяет выявить уязвимости до того, как ими воспользуются преступники. Важно понимать, что используемые для атак недостатки защиты могут присутствовать в системе любой организации. При этом большинство атак вполне предсказуемы: каждый из описанных сценариев основан на эксплуатации наиболее распространенных уязвимостей, которые могут быть устранены с минимальными финансовыми вложениями, зачастую просто путем изменения конфигурации системы.

Эксперты также подчеркивают, что сложность компрометации ресурсов в значительной степени зависит от того, является ли подход к защите комплексным. Даже в случае применения дорогостоящих решений по обеспечению безопасности они могут оказаться бесполезными, если пользователи и администраторы ресурсов применяют словарные пароли. На практике было множество примеров, когда словарный пароль лишь одного пользователя позволял развить вектор атак до получения полного контроля над всей инфраструктурой корпоративной сети. Также было показано, что, получив привилегии локального администратора на рабочей станции или сервере, нарушитель может использовать специализированные утилиты для получения учетных данных даже при наличии антивируса.

Ежемесячно в сетевых устройствах, в том числе Wi-Fi- и 3G-роутерах, обнаруживаются в среднем 10 уязвимостей. По мнению экспертов Positive Technologies, большинство разработчиков и поставщиков сетевых устройств не придают должного значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять.

Новости последнего года свидетельствуют, что злоумышленники все больше интересуются уязвимостями Интернета вещей. Атаки в этом направлении будут только расти с учетом того, что согласно оценкам Gartner, к 2020 году количество IoT-устройств превысит 20 млрд. В пятерку наиболее популярных устройств небезопасного Интернета вещей, которые уже сейчас используются многими людьми, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики.

Роутеры

Средний возраст прошивки на среднестатистическом роутере составляет 3-4 года. Этот возраст коррелирует со средним возрастом самого роутера, или, другими словами, пользователи скорее меняют само устройство, чем обновляют его прошивку. На данный момент опытным путем установлено, что пароли примерно 15 из 100 устройств никогда не менялись со значений по умолчанию. И зная всего пять самых популярных пар «логин-пароль», можно получить доступ к каждому десятому устройству.

Камеры и видеорегистраторы

В настоящее время злоумышленник может потенциально получить доступ более чем к 3,5 миллионам камер по всему миру. При этом для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google, VLC-медиаплеер и не более 60 секунд времени.

Как утверждают в Positive Technologies, около 90% всех камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.

Навигаторы

Системы глобального позиционирования настолько глубоко проникли во все сферы нашей жизни, что большинство людей пользуются ими, не задумываясь о том, насколько им можно доверять. Между тем уже есть множество примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая spoofing, то есть подмену сигнала. Более пяти лет назад иранские военные смогли посадить американский беспилотник, используя данную технику. А в конце 2016 года темой многих СМИ стали искажения GPS и ГЛОНАСС в центре Москвы, около Кремля: навигаторы вдруг показывали своим пользователям, что они находятся в аэропорту Внуково.

Беспроводное управление

Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км. Исследователи Positive Technologies протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

Датчики (электричество, вода, сигнализация)

В ходе одного из исследований умных сетей электроснабжения (smart grid) эксперты обнаружили тысячи пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.

Четыре уязвимости межсайтового выполнения сценариев (Cross-Site Scripting, XSS) обнаружены в компонентах корпоративного веб-портала SAP Enterprise Portal — SAP Enterprise Portal Navigation и SAP EnterprisePortal Theme Editor. Эксплуатируя данные уязвимости, злоумышленник может получить доступ к токенам сессии жертвы, учетным данным для входа и другой конфиденциальной информации в браузере, выполнить различные действия от имени пользователя, изменить содержимое HTML-страницы, перехватить нажатия клавиш.

Еще одна уязвимость — обход каталога (Directory Traversal) — позволяет загрузить произвольные файлы в компоненте SAP NetWeaver Log Viewer. При загрузке некорректно сформированного архива, содержащего файлы со специальными символами в названии, и его последующей распаковке, веб-приложение распознает символы «.» и «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в произвольную локацию файловой системы сервера.

Последствия загрузки произвольных файлов могут повлечь за собой полную компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы и подмену данных. Степень воздействия данной уязвимости высока, так как произвольный код может быть выполнен в контексте сервера.

Эксперты компании Positive Technologies сделали выводы об основных тенденциях в мире информационной безопасности, которые появились в 2016 году и будут оказывать влияние на будущее индустрии. Основой для оценки послужила статистика по общей картине атак, предоставленная собственным центром мониторинга, опыт расследования ряда крупных инцидентов, включая громкие атаки на банки, а также данные, полученные в ходе проектов по внедрению продуктов компании в различных организациях.

Вот чем запомнился минувший год:

• Потеря данных не лучше, чем потеря денег. Результат большинства компьютерных атак 2016 года − утечки конфиденциальной информации.
• Целевые атаки. 62% кибератак года были целевыми. Главный метод проникновения – таргетированный фишинг. Среднее время присутствия атакующих в системе составляет до 3 лет. Лишь 10% атак выявляются самими жертвами.
• Финансовые системы. Злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно. Ожидается 30% рост атак на финансовые организации. Основная причина — реактивные подходы к безопасности и отказ от регулярного анализа защищенности. Хакеры, увидев «легкие деньги», начинают тиражировать успешные атаки.
• Выкуп на высшем уровне. Крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей веб-сайтов. Способ вымогательства, когда хакеры требуют выкуп за информацию об уязвимостях, найденных в веб-приложениях компаний, уже стал массовым. Перечисленные техники вымогательства будут развиваться и в 2017 году.
• Под ударом энергетика. Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией. Практически половина уязвимостей, найденных в 2016 году, имеет высокую степень риска.
• Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массовым пользователям без необходимых мер безопасности. Не исключено, что ситуация в сфере Интернета вещей может потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции.
• Государственные сайты – самая частая цель веб-атак. Наиболее популярны атаки «Внедрение операторов SQL» и «Выход за пределы назначенной директории» (Path Traversal).
• Не верьте спутниковой навигации. Реализация атак с подменой GPS-сигнала стала доступной всем желающим.
• Вами управляет Android. Поскольку смартфоны становятся основным «пультом управления» современной жизни, внимание злоумышленников к устройствам на базе OS Android не ослабевает. «Сфера влияния» мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью дают злоумышленникам новые возможности вмешательства в жизнь своих жертв.
• Атаки через уязвимости аппаратных платформ. Легальные аппаратные возможности, предусмотренные самими производителями, могут быть использованы не по назначению. Аппаратные атаки страшны тем, что зачастую они не зависят от ОС и не могут быть оперативно предотвращены.

Ожидающийся рост атак на финансовые системы, государственные сайты и корпорации с использованием несложных технологий (фишинг, легальное ПО) говорит о необходимости применения современных средств мониторинга событий и расследования инцидентов (SIEM), систем обнаружения атак на основе машинного обучения (WAF), а также требует повышения осведомленности сотрудников.

Слабая защищенность промышленных систем АСУТП в сочетании с ухудшением геополитической обстановки может привести в 2017 году к увеличению числа кибератак на промышленные объекты, особенно в энергетической сфере. Использование сложных паролей и отключение компонентов АСУТП от Интернета могут уменьшить риски, однако нужны и более серьезные меры. Они включают регулярные аудиты безопасности, своевременное обновление уязвимого ПО и использование средств защиты, «заточенных» на специфику конкретных систем.

Пользователям мобильных устройств рекомендуется уделять повышенное внимание безопасности приложений и использовать настройки для ограничения прав доступа к персональной информации и потенциально опасным действиям.

Атаки на Интернет вещей показали, что пользователи зачастую лишены возможности самостоятельно контролировать безопасность новых устройств. Для уменьшения рисков необходимо, чтобы сами производители или провайдеры услуг Интернета вещей проводили специальные тестирования защищенности устройств. Обязать их к этому могут либо дополнительные правила государственных регуляторов, либо саморегуляция на основе угрозы потери репутации после крупных атак. Кстати, эксперты прогнозируют, что в 2017 году злоумышленники расширят спектр используемых IoT-устройств: в зоне риска — «умные» бытовые приборы (вплоть до чайников и холодильников).