Стр. 26 - Директор по безопасности

Упрощенная HTML-версия

АНАЛИТИКА
24
ДИРЕКТОР ПО БЕЗОПАСНОСТИ
Февраль 2014
УЯЗВИМОСТИ КОРПОРАТИВНЫХ
ИНФОРМАЦИОННЫХ СИСТЕМ
Хотя проблемы информационной безопасности довольно широко
обсуждаются в последние годы и все больше людей узнают о их важности,
корпоративные системы многих компаний до сих пор недостаточно
защищены. Более того, как показало статистическое исследование,
проведенное специалистами Positive Technologies, эти системы зачастую
может взломать даже не особенно квалифицированный киберпреступник.
Данные для исследования
При проведении исследования были
использованы данные работ по тести-
рованию на проникновение, проведен-
ных в 2011
2012 гг. (по 10 систем для
каждого года). Объектами исследования
стали крупнейшие государственные
организации и коммерческие компании
из телекоммуникационного, банков-
ского, финансового, промышленного,
строительного и торгового секторов
экономики (в том числе входящие в
топ-400 по версии агентства «Эксперт»).
Уязвимы все
Абсолютно все исследованные систе-
мы оказались подвержены уязвимо-
стям среднего уровня риска. Уязви-
мости высокой степени риска были
обнаружены в 95 % систем.
Злоумышленник, находящийся за преде-
лами организации, не имеющий никаких
привилегий и данных о сети, может пре-
одолеть сетевой периметр и проникнуть
во внутреннюю сеть в 74 % случаев. При
этом для преодоления сетевого пери-
метра в большинстве случаев киберпре-
ступнику достаточно иметь средний или
низкий уровень квалификации.
Данные за 2012 г. позволяют сделать
вывод о том, что банковские системы
защищены все же лучше, чем системы
прочих компаний. Любой внешний
нарушитель может проникнуть во
внутренние системы банков в 20 % слу-
чаев, тогда как в других секторах этот
показатель составляет 80 %.
В среднем для преодоления сетевого пе-
риметра требуется последовательная экс-
плуатация трех различных уязвимостей.
В 47 % случаев первым этапом служит
подбор словарных паролей пользовате-
лей, далее осуществляется расширение
привилегий и получение контроля над
каким-либо ресурсом, относящимся к
внутренней сети.
В каждой третьей системе доступ во вну-
треннюю сеть был получен через уязви-
мости веб-приложений. Такие недостатки
обнаружены во всех исследованных
системах. Достаточно сказать, что опасная
уязвимость «Внедрение операторов SQL»
встречается в 63 % случаев.
Многие атаки оказываются возмож-
ными из-за доступности интерфейсов
управления серверами и сетевым
оборудованием (SSH, Telnet, RDP, веб-
интерфейсов) из внешних сетей.
Безопасность ресурсов
внутренней сети
В трети случаев внешний нарушитель по-
сле получения доступа к внутренней сети
имеет возможности для развития атаки и
получения полного контроля над всей
IT-инфраструктурой компании. В целом
для 84 %исследованных систем в резуль-
тате внешнего тестирования на проникно-
вение со стороны сети Интернет удалось
получить несанкционированный доступ к
ресурсам с различными привилегиями.
Если же злоумышленнику удалось полу-
чить доступ к сети, то, согласно статистике,
у него есть все шансы для повышения
своих привилегий и получения доступа
к критическим ресурсам. При наличии
доступа в сеть специалистам Positive
Technologies удалось получить несанкцио-
нированный доступ к критическим ресур-
сам во всех исследованных системах, а в
67 % был получен полный контроль над
всей инфраструктурой. В среднем при
наличии доступа во внутреннюю сеть для
получения контроля над критическими
ресурсами злоумышленнику требуется
эксплуатация 7 уязвимостей.
Самыми распространенными уязвимо-
стями ресурсов внутренней сети являются
использование слабых паролей и недо-
статки фильтрации и защиты служебных
протоколов канального и сетевого уров-
ней (ARP, STP, DHCP, CDP): они встречаются
в 92 % систем. Далее идет использование
открытых протоколов передачи данных
(Telnet, FTP, HTTP)
75 % случаев.
Человеческий фактор
Уязвимости в оборудовании и конфигу-
рациях программного обеспечения
далеко не единственная проблема без-
опасности, которая может открыть зло-
умышленнику доступ к корпоративной
сети. Низкая осведомленность сотрудни-
ков компаний в вопросах информаци-
онной безопасности делает социальную
инженерию опасным оружием в руках
киберпреступников.
В среднем за два года исследований каж-
дый пятый адресат рассылки, эмулирую-
щей фишинг-атаку, осуществлял переход
по предложенному адресу, 18 % ввели
свои данные или запустили прилагаемое
к письму ПО, а 1 % пользователей даже
попытались вступить в диалог с автором
небезопасного письма.
Выводы
В целом наиболее существенные пробле-
мы были выявлены в централизованных
системах уровня инфраструктуры (таких
так Microsoft Active Directory), серверных
компонентах, СУБД и веб-приложениях.
Именно через эти системы удавалось в
большинстве случаев получить доступ к
критическим ресурсам, а также преодо-
леть внешний периметр сети.
Несмотря на масштабные меры по
обеспечению ИБ в рассмотренных
компаниях, полученные практические
результаты свидетельствуют о их низкой
эффективности. Так, множественные
ошибки в веб-приложениях говорят о
неэффективности процесса аудита ин-
формационной безопасности в области
веб-приложений, а не устанавливаемые
в течение нескольких лет обновления
об отсутствии процесса управления
уязвимостями и обновлениями.