Compania Positive Technologies a prezentat rezultatele unui studiu al securității sistemelor informatice corporative ale organizațiilor comerciale și guvernamentale cheie. În ciuda atenției sporite asupra problemelor de securitate la nivelul întreprinderilor de la acest nivel, rezultatele finale au fost dezamăgitoare: protecția perimetrală inadecvată, resursele de rețea interne vulnerabile și înțelegerea slabă a principiilor securității informaționale.
Cele mai mari organizații de stat și companii comerciale din sectoarele telecomunicațiilor, bancar, financiar, industrial, construcții și comerț ale economiei (inclusiv cele incluse în top 400 conform agenției Expert) au devenit obiectul cercetării. Sistemele corporatiste care intră în raport numără mii de noduri și sunt adesea distribuite teritorial pe zeci de sucursale.
Rețelele corporative sunt prost protejate de atacurile de pe Internet
În medie, doar unul dintre cele patru sisteme informatice a reușit să reziste încercărilor de intruziune sancționate în rețeaua internă. Cu alte cuvinte, un potențial atacator care atacă oriunde pe glob are șanse foarte mari de a avea acces la resursele interne ale corporației medii. Raportul raportează, de asemenea, prezența unor urme reale de hacking, descoperite de experții pozitivelor în 15% din sistemele testate.
Calificarea înaltă pentru atacator nu este necesară
Pentru a depăși protecția perimetrului rețelei unui atacator extern, de regulă, este suficient să se opereze trei vulnerabilități diferite, iar 37% din atacuri pot fi realizate prin eforturile scripturilor-kiddi-crackers cu abilități scăzute.
În aproape jumătate din cazuri, penetrarea în rețeaua internă se bazează pe utilizarea defecțiunilor de securitate a parolei - la alegerea parolelor de dicționar și a parolelor stabilite de producători în mod implicit. Această problemă este cea mai comună, în perimetrul rețelei a fost găsit 79% din sistemele studiate, în timp ce în 74% din cazuri, parolele dicționarului au fost utilizate pentru conturile privilegiate.
Multe atacuri sunt posibile din cauza disponibilității interfețelor de administrare pentru servere și echipamente de rețea (SSH, Telnet, RDP, interfețe web) din rețele externe.
Și din nou, despre actualizările de securitate
La fiecare al cincilea sistem, protecția perimetrului rețelei a reușit să depășească, nu a fost protejată din cauza diferitelor neajunsuri asociate cu lipsa actualizărilor de securitate relevante. Vulnerabilitățile de nivel mediu și ridicat de risc, legate de lipsa de patch-uri, au fost detectate în 65% din sisteme (deficiențele critice au fost aproape la jumătate). Vârsta medie a actualizărilor dezinstalate pentru sistemele în care au fost detectate astfel de vulnerabilități este de 51 de luni, adică mai mult de 4 ani. Într-una din instituțiile de stat, actualizările nu au fost instalate mai mult de 7 ani, drept urmare au fost descoperite multe vulnerabilități, inclusiv vulnerabilități critice, care au permis executarea unui cod arbitrar pe sistem.
Paralizând compania din interior - are doar acces la nodurile rețelei interne, atacatorul încearcă, de obicei, să obțină mai multe privilegii în sistemele critice. În fiecare treaptă (32%) de depășire cu succes a protecției perimetrului, cercetătorii de la Positive Technologies au avut ocazia să dezvolte un atac și să obțină control total asupra întregii infrastructuri a întreprinderii. În condiții reale, astfel de incidente ar putea avea consecințele cele mai grave, până la oprirea activităților operaționale, întreruperea ciclului de producție, pierderea informațiilor confidențiale și a resurselor financiare, amenințarea teroristă.
Un intrus care a pătruns în rețeaua corporativă internă ar trebui să exploateze în medie 7 vulnerabilități diferite pentru a obține controlul asupra resurselor critice ale întreprinderii, iar în 40% dintre sisteme nu ar avea nevoie de o calificare înaltă pentru acest lucru. Asemenea ușurință a atacului se explică prin prezența unor defecte de securitate critice, care au afectat aproape toate (95%) din resursele intranet considerate. Cele mai frecvente vulnerabilități ale resurselor interne ale rețelei sunt utilizarea parolelor slabe, precum și dezavantajele filtrării și protejării protocoalelor de servicii ale straturilor de canal și de rețea (ARP, STP, DHCP, CDP). Ambele vulnerabilități se regăsesc în 92% din sisteme. Următoarea vulnerabilitate cea mai comună este utilizarea protocoalelor deschise de transfer de date, cum ar fi Telnet, FTP, HTTP, care se observă în 75% din cazuri.
Angajații nu respectă regulile de securitate de bază
În general, cele mai semnificative probleme au fost identificate în sistemele centralizate de nivel de infrastructură (cum ar fi Microsoft Active Directory), componentele serverului, DBMS și aplicațiile Web. Prin aceste sisteme, în majoritatea cazurilor, a fost posibilă accesul la resurse critice, precum și depășirea perimetrului extern al rețelei.
Constatarile prezentate in studiu, este clar: în ciuda măsurilor pe scară largă pentru a asigura securitatea informațiilor în companiile chestionate, rezultatele practice atestă eficiența scăzută. Astfel, cele mai multe erori în aplicațiile web vorbesc despre lipsa de eficiență a procesului de audit de securitate a informațiilor în domeniul aplicațiilor web, și nu poate fi stabilită pentru mai mulți ani de renovare - procesul de management absență și actualizări vulnerabilitate.