Компания Positive Technologies представила результаты исследования защищенности корпоративных IT-систем ключевых коммерческих и государственных организаций. Несмотря на усиленное внимание к проблемам безопасности на предприятиях такого уровня, итоговые результаты оказались неутешительными: недостаточная защита периметра, уязвимые ресурсы внутренней сети и плохое понимание сотрудниками основ информационной безопасности.
Отчет основан на статистике, полученной в ходе работ по тестированию на проникновение, которые велись в 2011 и 2012 годах. В процессе выполнения пентестов эксперты моделируют действия атакующего, играя роль взломщика, что позволяет на практике оценить эффективность используемых мер защиты информации.
Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»). Попавшие в отчет корпоративные системы насчитывают тысячи узлов и зачастую распределены территориально по десяткам филиалов.
Корпоративные сети плохо защищены от атак из интернета
В среднем только одна из четырех IT-систем смогла противостоять санкционированным попыткам вторжения во внутреннюю сеть. Другими словами, потенциальный злоумышленник, атакующий из любой точки земного шара, имеет очень высокие шансы получить доступ к внутренним ресурсам среднестатистической корпорации. В отчете также сообщается о наличии настоящих следов взлома, обнаруженных специалистами Positive Technologies в 15% протестированных систем.
Высокая квалификация нападающему не требуется
Для преодоления защиты сетевого периметра внешнему атакующему, как правило, достаточно осуществить эксплуатацию трех различных уязвимостей, причем 37% атак могут быть реализованы усилиями скрипт-кидди — взломщиков низкой квалификации.
Почти в половине случаев проникновение во внутреннюю сеть основывается на использовании недостатков парольной защиты — на подборе словарных паролей и паролей, заданных производителями по умолчанию. Данная проблема является самой распространенной, она была обнаружена на сетевом периметре 79% исследованных систем, при этом в 74% случаев словарные пароли использовались для привилегированных учетных записей.
В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений: такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Наиболее полный обзор подобных проблем безопасности приведен в отчете «Статистика уязвимостей веб-приложений (2012 г.)».
Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.
И снова про обновления безопасности
Каждая пятая система, защиту сетевого периметра которой удалось преодолеть, оказалась незащищённой в силу различных недостатков, связанных с отсутствием актуальных обновлений безопасности. Уязвимости среднего и высокого уровня риска, связанные с отсутствием патчей, были выявлены в 65% систем (критические недостатки составили почти половину). Средний возраст неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет 51 месяц, то есть более 4 лет. В одном из государственных учреждений обновления не устанавливались в течение более чем 7 лет, в результате было обнаружено множество уязвимостей, в том числе критических, позволяющих выполнять произвольный код на системе.
Парализовать работу компании изнутри — это просто
Получив доступ к узлам внутренней сети, злоумышленник обычно стремится к получению более широких привилегий в критически важных системах. В каждом третьем случае (32%) успешного преодоления защиты периметра исследователи Positive Technologies имели возможность развить атаку и получить полный контроль над всей инфраструктурой предприятия. В реальных условиях подобные инциденты могли бы иметь самые серьезные последствия, вплоть до остановки операционной деятельности, нарушения производственного цикла, потери конфиденциальной информации и финансовых средств, террористической угрозы.
Нарушителю, проникшему во внутреннюю корпоративную сеть, для получения контроля над важнейшими ресурсами предприятия нужно было бы провести эксплуатацию в среднем 7 различных уязвимостей, причем в 40% систем ему не потребовалась бы для этого высокая квалификация. Подобная легкость проведения атак объясняется наличием критических недостатков безопасности, которым были подвержены почти все (95%) рассмотренные внутрисетевые ресурсы. Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей, а также недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP). Обе эти уязвимости встречаются в 92% систем. Следующая по распространенности уязвимость — использование открытых протоколов передачи данных, таких как Telnet, FTP, HTTP, которое наблюдается в 75% случаев.
Сотрудники не соблюдают элементарных правил безопасности
Другой существенной проблемой стал низкий уровень осведомленности пользователей в вопросах информационной безопасности. Результаты проверок, проведенных в 2011 и 2012 годах, свидетельствуют, что социальная инженерия может быть опасным оружием в руках злоумышленника.
В каждой третьей компании уровень осведомленности сотрудников о правилах ИБ был оценен как крайне низкий. В таких системах более 30% пользователей переходили фишинг-ссылкам и вводили конфиденциальные учетные данные.
В среднем за два года каждый пятый получатель рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному в сообщении адресу, 18% ввели свои данные либо установили прилагаемое к письму программное обеспечение, а 1% пользователей попытались вступить в диалог с автором небезопасного письма.
В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получить доступ к критическим ресурсам, а также преодолеть внешний периметр сети.
Выводы, представленные в исследовании, вполне однозначны: несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.
Заместитель генерального директора Positive Technologies Сергей Гордейчик отмечает:
«Часто можно услышать, что тестирование на проникновение это "настоящий взлом" или "реальная целенаправленная атака", но это не совсем так. Действия аудитора ограничены различными правовыми и этическими нормами, которые мало заботят злоумышленников. Нам приходится сталкиваться с ситуациями, когда заказчик устраняет уязвимости на основе предварительных отчетов или настраивает системы обнаружения атак на полную катушку, блокируя буквально каждый пакет с адресов, указанных в регламенте проведения работ. И чтобы на основании представленного отчета получить представление о реальном уровне защищенности корпоративных сетей, нужно мысленно умножить показатели уязвимости как минимум на два».
С полной версией отчета об исследовании можно ознакомиться на сайте Positive Technologies по адресу: http://www.ptsecurity.ru/download/Analitika_pentest.pdf