Показано с 1 по 1 из 1.

Крупные компании не защищены даже от неквалифицированных киберпреступников

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,807
    Вес репутации
    141

    Крупные компании не защищены даже от неквалифицированных киберпреступников

    Компания Positive Technologies представила результаты исследования защищенности корпоративных IT-систем ключевых коммерческих и государственных организаций. Несмотря на усиленное внимание к проблемам безопасности на предприятиях такого уровня, итоговые результаты оказались неутешительными: недостаточная защита периметра, уязвимые ресурсы внутренней сети и плохое понимание сотрудниками основ информационной безопасности.
    Отчет основан на статистике, полученной в ходе работ по тестированию на проникновение, которые велись в 2011 и 2012 годах. В процессе выполнения пентестов эксперты моделируют действия атакующего, играя роль взломщика, что позволяет на практике оценить эффективность используемых мер защиты информации.
    Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»). Попавшие в отчет корпоративные системы насчитывают тысячи узлов и зачастую распределены территориально по десяткам филиалов.
    Корпоративные сети плохо защищены от атак из интернета
    В среднем только одна из четырех IT-систем смогла противостоять санкционированным попыткам вторжения во внутреннюю сеть. Другими словами, потенциальный злоумышленник, атакующий из любой точки земного шара, имеет очень высокие шансы получить доступ к внутренним ресурсам среднестатистической корпорации. В отчете также сообщается о наличии настоящих следов взлома, обнаруженных специалистами Positive Technologies в 15% протестированных систем.
    Высокая квалификация нападающему не требуется
    Для преодоления защиты сетевого периметра внешнему атакующему, как правило, достаточно осуществить эксплуатацию трех различных уязвимостей, причем 37% атак могут быть реализованы усилиями скрипт-кидди — взломщиков низкой квалификации.
    Почти в половине случаев проникновение во внутреннюю сеть основывается на использовании недостатков парольной защиты — на подборе словарных паролей и паролей, заданных производителями по умолчанию. Данная проблема является самой распространенной, она была обнаружена на сетевом периметре 79% исследованных систем, при этом в 74% случаев словарные пароли использовались для привилегированных учетных записей.
    В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений: такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Наиболее полный обзор подобных проблем безопасности приведен в отчете «Статистика уязвимостей веб-приложений (2012 г.)».
    Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.
    И снова про обновления безопасности
    Каждая пятая система, защиту сетевого периметра которой удалось преодолеть, оказалась незащищённой в силу различных недостатков, связанных с отсутствием актуальных обновлений безопасности. Уязвимости среднего и высокого уровня риска, связанные с отсутствием патчей, были выявлены в 65% систем (критические недостатки составили почти половину). Средний возраст неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет 51 месяц, то есть более 4 лет. В одном из государственных учреждений обновления не устанавливались в течение более чем 7 лет, в результате было обнаружено множество уязвимостей, в том числе критических, позволяющих выполнять произвольный код на системе.
    Парализовать работу компании изнутри — это просто
    Получив доступ к узлам внутренней сети, злоумышленник обычно стремится к получению более широких привилегий в критически важных системах. В каждом третьем случае (32%) успешного преодоления защиты периметра исследователи Positive Technologies имели возможность развить атаку и получить полный контроль над всей инфраструктурой предприятия. В реальных условиях подобные инциденты могли бы иметь самые серьезные последствия, вплоть до остановки операционной деятельности, нарушения производственного цикла, потери конфиденциальной информации и финансовых средств, террористической угрозы.
    Нарушителю, проникшему во внутреннюю корпоративную сеть, для получения контроля над важнейшими ресурсами предприятия нужно было бы провести эксплуатацию в среднем 7 различных уязвимостей, причем в 40% систем ему не потребовалась бы для этого высокая квалификация. Подобная легкость проведения атак объясняется наличием критических недостатков безопасности, которым были подвержены почти все (95%) рассмотренные внутрисетевые ресурсы. Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей, а также недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP). Обе эти уязвимости встречаются в 92% систем. Следующая по распространенности уязвимость — использование открытых протоколов передачи данных, таких как Telnet, FTP, HTTP, которое наблюдается в 75% случаев.
    Сотрудники не соблюдают элементарных правил безопасности
    Другой существенной проблемой стал низкий уровень осведомленности пользователей в вопросах информационной безопасности. Результаты проверок, проведенных в 2011 и 2012 годах, свидетельствуют, что социальная инженерия может быть опасным оружием в руках злоумышленника.
    В каждой третьей компании уровень осведомленности сотрудников о правилах ИБ был оценен как крайне низкий. В таких системах более 30% пользователей переходили фишинг-ссылкам и вводили конфиденциальные учетные данные.
    В среднем за два года каждый пятый получатель рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному в сообщении адресу, 18% ввели свои данные либо установили прилагаемое к письму программное обеспечение, а 1% пользователей попытались вступить в диалог с автором небезопасного письма.
    В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получить доступ к критическим ресурсам, а также преодолеть внешний периметр сети.
    Выводы, представленные в исследовании, вполне однозначны: несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.
    Заместитель генерального директора Positive Technologies Сергей Гордейчик отмечает:
    «Часто можно услышать, что тестирование на проникновение это "настоящий взлом" или "реальная целенаправленная атака", но это не совсем так. Действия аудитора ограничены различными правовыми и этическими нормами, которые мало заботят злоумышленников. Нам приходится сталкиваться с ситуациями, когда заказчик устраняет уязвимости на основе предварительных отчетов или настраивает системы обнаружения атак на полную катушку, блокируя буквально каждый пакет с адресов, указанных в регламенте проведения работ. И чтобы на основании представленного отчета получить представление о реальном уровне защищенности корпоративных сетей, нужно мысленно умножить показатели уязвимости как минимум на два».

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 23.05.2013, 19:40
  2. Найден источник кибератак на крупные издания США
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 19.02.2013, 15:40
  3. McAfee: В 2008 году компании потеряли из-за киберпреступников триллион долларов
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 29.01.2009, 18:42
  4. Крупные компании объединились для борьбы с киберсквоттингом
    От ALEX(XX) в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 27.07.2007, 11:13
  5. Крупные провайдеры признаны источниками DDoS-атак
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 18.06.2005, 17:07

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00912 seconds with 18 queries