Команда Positive Technologies(РТ) опубликовала статистику по итогам пентестов, проведенных за последний год
57% протестированных организаций входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600, 63% — представители финансовой отрасли, промышленные предприятия и государственные учреждения.
Так как PT являются одними из лидеров в сфере предоставления услуг информационной безопасности, на основании их работы можно сделать выводы об общем состоянии и уровне защищенности корпоративных сетей российских компаний.
К сожалению, уровень защищенности от внешнего и внутреннего нарушителя в компаниях оказался преимущественно низким: в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов даже не нужно обладать высокой квалификацией.
- В 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть;
- В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага;
- Самая быстрая атака была проведена пентестерами за час. В среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться 5 дней и 4 часа.
Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений — такие векторы были выявлены во всех без исключения компаниях. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено 5 таких уязвимостей.
Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО; в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений.
При проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например к сведениям, составляющим коммерческую тайну.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации было возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний. В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики. В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО.
В 47% компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов.
Эксперты РТ отмечают, что тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. Кибератака может привести к негативным последствиям для каждой организации, где проводились исследования. В то же время организации, которые регулярно проводят проверки защищенности и качественную работу над ошибками, в итоге выходят на более высокий уровень. Специалисты также рекомендуют обратить особое внимание на выявленные ими распространенные недостатки защиты и техники атак, и в первую очередь обеспечить безопасность целевых и ключевых систем инфраструктуры. Необходимы регулярные проверки эффективности внедренных мер защиты, а также готовности службы ИБ выявлять и останавливать атаки на ранних этапах — до наступления недопустимых последствий.
Всегда готовая оказать помощь в проведении внешних и внутренних пентестов,
С заботой о вашей безопасности, команда Origin Security
