Исследование Positive Technologies: более половины российских компаний не знают, что есть в их ИТ-инфраструктуре

Специалисты компании Positive Technologies, лидера результативной кибербезопасности, выяснили, как представители ключевых отраслей экономики¹ выстраивают процесс управления цифровыми активами². Исследование показало, что 54% респондентов знают не про все устройства и системы, используемые в организации, хотя и стремятся к полной видимости. Неучтенные цифровые активы могут использоваться злоумышленниками при реализации недопустимых событий.

В исследовании приняли участие более 130 компаний из сфер ИT, промышленного производства, ритейла, финансов, из топливно-энергетического комплекса и других секторов экономики. Цель исследования — узнать, как современные организации выстраивают процесс управления цифровыми активами³, какие инструменты и подходы используют, с какими трудностями при этом сталкиваются и какие задачи планируют решить с помощью систем класса asset management.

По данным исследования Positive Technologies, каждая третья компания не уверена, что обладает точной информацией об аппаратном и программном обеспечении, которое формирует основу операционной деятельности. Около 80% компаний вводят или выводят из эксплуатации активы как минимум раз в квартал. Это может привести к появлению уязвимостей и незащищенных мест в инфраструктуре организации, которые впоследствии могут быть использованы в атаках злоумышленников. Например, в ходе пентестов эксперты обнаружили уязвимость, вызванную небезопасной конфигурацией, которая может привести к получению максимальных привилегий в домене Active Directory⁴.

Около четверти респондентов (22%), согласно результатам опроса, считают важным только управлять активами при их закупке, поддержке и эксплуатации. Лишь 15% компаний считают важным обеспечить защиту всех важных цифровых активов в своей инфраструктуре. При этом 63% организаций уверены в необходимости, помимо управления всеми важными устройствами и системами, обеспечить также их защиту, объединив для этого функции ИТ-специалистов с задачами, выполняемыми подразделением ИБ. По мнению экспертов Positive Technologies, такой подход обусловлен тем, что большинство кибератак совершаются через компрометацию компьютеров, серверов и сетевого оборудования.

Цифровыми активами в общей сложности управляют две трети опрошенных организаций. Однако, как показало исследование, многие организации сталкиваются с трудностями в учете и отслеживании устройств и систем, часто рассматривая только ключевые из них, что существенно ограничивает видимость инфраструктуры. Так, только пятая часть опрошенных компаний управляет более чем 80% активов. Вместе с тем даже незначительное количество неучтенных узлов может привести к реализации недопустимых событий. Специалисты Positive Technologies подчеркивают, что именно такие устройства с устаревшим ПО, ошибками конфигураций и уязвимостями часто становятся целью злоумышленников. Проникнуть во внутреннюю сеть компании атакующим чаще всего позволяют ошибки в коде веб-приложений, недостатки парольной политики и конфигурации сервисов, находящихся на периметре сети.

Специализированные продукты для управления активами используют всего 25% респондентов. Более половины опрошенных обращаются к решениям на базе инструментов ИБ и ИТ. Большое количество таких систем трудно поддерживать и масштабировать, что оборачивается дополнительными операционными затратами, отмечают эксперты Positive Technologies. Тем не менее полное представление обо всех активах ИT-инфраструктуры необходимо для полноценной защиты организации. Система управления уязвимостями MaxPatrol VM, благодаря технологии asset management, собирает актуальные данные об инфраструктуре, на основе которых в любой момент может построить ее полную модель для наиболее точной оценки защищенности. Такой подход помогает обеспечивать киберустойчивость — способность информационной системы непрерывно функционировать в условиях кибератак.

1. В исследовании приняли участие компании из сфер ИТ, промышленного производства, ритейла, финансов, интернет-торговли, телекоммуникаций, образования, транспорта, медицины, из топливно-энергетического комплекса, нефтегазовой и других отраслей.
2. Цифровые активы — все, что имеет доступ к информационной сети организации и представляет часть ее цифровой инфраструктуры. К цифровым активам могут относиться ноутбуки, серверы, виртуальные машины, базы данных, контейнеры, приложения, а также другие устройства и системы.
3. Управление ИT-активами — это непрерывный процесс обнаружения, отслеживания и управления программными и аппаратными активами на протяжении всего их жизненного цикла, от планирования закупки до вывода из эксплуатации.
4. Active Directory — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server.