Positive Technologies
Новости

Результаты пентестов Positive Technologies за 2021–2022 годы: 96% протестированных организаций оказались не защищены от проникновения в локальную сеть

В Positive Technologies проанализировали состояние защищенности российских компаний1. В ходе пентестов2 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.

По данным исследования, уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким3: в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.

Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов4; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.

Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений — такие векторы были выявлены во всех без исключения компаниях. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей. Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО; в половине исследованных компаний были выявлены критически опасные уязвимости в коде веб-приложений. Для того чтобы обеспечить безопасность веб-приложений, эксперты Positive Technologies рекомендуют регулярно проводить анализ защищенности, внедрять процесс управления уязвимостями и использовать межсетевые экраны уровня приложений.

По данным исследования, при проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации, например к сведениям, составляющим коммерческую тайну. Киберпреступники могут продать такую информацию конкурентам компании-жертвы или использовать ее для того, чтобы потребовать выкуп за неразглашение. Помимо доступа во внутреннюю сеть компании, атака на ресурсы сетевого периметра может повлечь за собой и другие негативные последствия: например, дефейс веб-приложения, изменение информации на официальных ресурсах или размещение вредоносного кода для атаки на клиентов жертвы, получение учетных данных сотрудников и, как следствие, доступ к корпоративным ресурсам и почте с последующей рассылкой спама и фишинга.

При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации было возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний. В 85% организаций были выявлены критически опасные уязвимости и уязвимости высокой степени опасности, связанные с недостатками парольной политики. В 60% компаний обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО. Эксперты Positive Technologies рекомендуют внедрить строгую парольную политику, а также использовать двухфакторную аутентификацию для доступа к критически важным ресурсам.

В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров компаний, хищение денежных средств, остановка ключевых бизнес-процессов.

«Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации, — комментирует аналитик Positive Technologies Яна Юракова. — В среднем на осуществление недопустимого события злоумышленникам потребовалось бы 10 дней. В некоторых случаях для этого даже не требовалось получать максимальные привилегии в домене. Большая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%)».

В исследовании представлена тепловая карта MITRE ATT&CK, где показаны популярные техники и подтехники, которые успешно использовались пентестерами Positive Technologies. В компании считают, что такая карта может быть особенно полезна специалистам по оперативному реагированию на инциденты и лицам, ответственным за информационную безопасность, ведь пентестеры имитируют действия реальных злоумышленников. Зная подходы преступников, можно обеспечить превентивную защиту и уделить особое внимание мониторингу и реагированию на инциденты.

  1. 57% протестированных организаций входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. Большая часть исследуемых компаний (63%) — это представители финансовой отрасли, промышленные предприятия и государственные учреждения. В исследование вошли результаты анализа организаций, которые разрешили использовать полученные обезличенные данные.
  2. Было проанализировано 53 проекта по внутреннему, внешнему и комплексному тестированию на проникновение, проведенных в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года. Анализ проводился только для атак на инфраструктуру компаний; в исследование не вошли атаки с использованием социальной инженерии и атаки на беспроводные сети.
  3. Общий уровень защищенности — экспертная оценка, учитывающая количество выявленных векторов атак, в том числе потенциальных, уровень важности ресурсов, к которым был получен доступ, а также уровень сложности вектора атаки и необходимую квалификацию нарушителя. Маркером того, что информационная безопасность в компании находится на высоком уровне, в отчете является применение подходов результативной безопасности, выработанных специалистами Positive Technologies.
  4. Шаг атаки — это действие нарушителя, которое позволяет ему получить информацию или привилегии, необходимые для дальнейшего развития атаки.