В рамках внешнего тестирования на проникновение экспертам удалось преодолеть сетевой периметр 92% организаций, а от лица внутреннего нарушителя был получен полный контроль над инфраструктурой во всех исследуемых системах. В большинстве компаний было выявлено несколько способов (векторов) проникновения во внутреннюю сеть.
По данным исследования компании Positive Technologies, в среднем на одну систему приходилось два вектора проникновения, а максимальное число векторов, обнаруженных в одной системе, — пять. Как правило, проникнуть во внутреннюю сеть организации можно с использованием известных недостатков безопасности, что не требует от злоумышленника глубоких теоретических знаний.
«Один из распространенных вариантов успешных атак в ходе тестирования — обнаружение на сетевом периметре интерфейсов систем, которые должны быть доступны исключительно из внутренней сети, — рассказала аналитик Positive Technologies Екатерина Килюшева. — Например, доступная из интернета система видеонаблюдения может позволить злоумышленнику не только просматривать видео с камер, но и выполнять произвольные команды на сервере. Это показывает, как важно правильно определять границы сетевого периметра и следить за состоянием защищенности каждого компонента системы. Мы рекомендуем ограничить количество сервисов на сетевом периметре, а также убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям. Не менее важно убедиться, что в открытом виде не хранится чувствительная информация — учетные данные для доступа к различным ресурсам, адресная книга компании и т. п. Чтобы следить за эффективностью принимаемых мер защиты, мы рекомендуем регулярно проводить тестирование на проникновение».
Как сообщили специалисты, во всех протестированных компаниях главную проблему на сетевом периметре представляют уязвимости в коде веб-приложений. В целом с недостаточной защитой веб-ресурсов связаны 75% векторов проникновения. В половине компаний для преодоления периметра требовался всего один шаг, и чаще всего он заключался в эксплуатации уязвимости в веб-приложении.
«Чем сложнее веб-приложение и чем больше у него функций, тем выше вероятность того, что разработчики допустили в коде ошибку, которая позволит злоумышленнику провести атаку, — отметила Екатерина Килюшева. — Частично такие ошибки выявляются в рамках тестирования на проникновение, но наибольшее их число может быть выявлено только при проверке приложения методом белого ящика, подразумевающим анализ исходного кода. Для исправления уязвимостей обычно требуется внести изменения в код, на что может потребоваться значительное время. Чтобы бизнес-процессы не останавливались, рекомендуется применять межсетевой экран уровня приложений (web application firewall), который не позволит эксплуатировать уязвимость, пока ее не устранили, а также защитит от новых и не найденных уязвимостей».
Во всех исследуемых системах был получен полный контроль над инфраструктурой от лица внутреннего нарушителя. Помимо этого, эксперты получили доступ к критически важным ресурсам, в том числе ресурсам АСУ ТП, SWIFT, к управлению банкоматами.
Эксперты отметили, что типовой вектор атаки во внутренней сети строится на подборе словарных паролей для доступа к компьютерам и последующем запуске специальных утилит, которые собирают учетные записи всех пользователей ОС. Полученные учетные записи могут использоваться и на других компьютерах; таким образом злоумышленник перемещается по сети от одного компьютера к другому. Отсутствие обновлений, особенно связанных с устранением критически опасных уязвимостей, также помогает злоумышленнику развивать атаку. Во внутренней инфраструктуре компаний чаще всего встречались уязвимые версии ОС: они были выявлены в 44% протестированных систем.
Проводились и проверки методами социальной инженерии, которые моделировали фишинговую атаку на компанию. Для этого рассылались специальным образом сформированные электронные письма, содержащие вложенные документы или ссылки на веб-ресурсы. Результаты таких проверок показали, что каждый третий сотрудник рискует запустить вредоносный код на своем рабочем компьютере, каждый седьмой может вступить в диалог со злоумышленником и выдать конфиденциальную информацию, а каждый десятый сотрудник вводит свои учетные данные в поддельную форму аутентификации.
Анализ также подтвердил, что беспроводные сети остаются потенциальным вектором проникновения во внутреннюю инфраструктуру компании. В 87% протестированных систем беспроводные сети были доступны за пределами контролируемой зоны — из ближайшего кафе, с парковки или из гостевой зоны на проходной. В 63% систем эксперты получили доступ к локальной сети через беспроводные сети.