Компания
349,69
рейтинг
23 декабря 2013 в 14:59

Разработка → IT-системы крупных компаний может взломать даже начинающий хакер

Хотя проблемы информационной безопасности довольно широко обсуждаются в последние годы и все больше людей узнает об их важности, корпоративные системы многих компаний до сих пор недостаточно защищены. Более того, как показало статистическое исследование, проведенное специалистами Positive Technologies, эти системы зачастую может взломать даже не особенно квалифицированный киберпреступник.

Данные для исследования


При проведении исследования были использованы данные работ по тестированию на проникновение, проведенных в 2011 и 2012 годах (по 10 систем для каждого года). Объектами исследования стали крупнейшие государственные организации и коммерческие компании из телекоммуникационного, банковского, финансового, промышленного, строительного и торгового секторов экономики (в том числе входящие в топ-400 по версии агентства «Эксперт»).

image

Попавшие в отчет корпоративные системы насчитывают тысячи узлов, зачастую распределены территориально и имеют десятки филиалов.

Уязвимы все


Абсолютно все исследованные системы оказались подвержены уязвимостям среднего уровня риска. Уязвимости высокой степени риска были обнаружены в 95% систем

image

Распространенные уязвимости сетевого периметра


Злоумышленник, находящийся за пределами организации, не имеющий никаких привилегий и данных о сети, может преодолеть сетевой периметр и проникнуть во внутреннюю сеть в 74% случаев. При этом для преодоления сетевого периметра в большинстве случаев киберпреступнику достаточно иметь средний или низкий уровень квалификации.

image

Данные за 2012 год позволяют сделать вывод о том, что банковские системы защищены все же лучше, чем системы прочих компаний. Любой внешний нарушитель может проникнуть во внутренние системы банков в 20% случаев, тогда как в других секторах этот показатель составляет 80%.

image
Категория нарушителя, от лица которого можно получить полный контроль над критически важными ресурсами в банковских системах

image
Категория нарушителя, от лица которого можно получить полный контроль над критически важными ресурсами в системах компаний прочих отраслей

В среднем для преодоления сетевого периметра требуется последовательная эксплуатация трех различных уязвимостей. В 47% случаев первым этапом служит подбор словарных паролей пользователей, далее осуществляется расширение привилегий и получение контроля над каким-либо ресурсом, относящимся к внутренней сети.

В каждой третьей системе доступ во внутреннюю сеть был получен через уязвимости веб-приложений. Такие недостатки обнаружены во всех исследованных системах. Достаточно сказать, что опасная уязвимость «Внедрение операторов SQL» встречается в 63% случаев. Наиболее полный обзор подобных проблем безопасности приведен в отчете «Статистика уязвимостей веб-приложений (2012 г.)».

Многие атаки оказываются возможными из-за доступности интерфейсов управления серверами и сетевым оборудованием (SSH, Telnet, RDP, веб-интерфейсов) из внешних сетей.

image

Безопасность ресурсов внутренней сети


В трети случаев внешний нарушитель после получения доступа к внутреней сети имеет возможности для развития атаки и получения полного контроля над всей IT-инфраструктурой компании. В целом для 84% исследованных систем в результате внешнего тестирования на проникновение со стороны сети Интернет удалось получить несанкционированный доступ к ресурсам с различными привилегиями.

Если же злоумышленнику удалось получить доступ к сети, то, согласно статистике, у него есть все шансы для повышения своих привилегий и получения доступа к критическим ресурсам. При наличии доступа в сеть специалистам Positive Technologies удалось получить несанкционированный доступ к критическим ресурсам во всех исследованных системах, а в 67% был получен полный контроль над всей инфраструктурой.

image

В среднем при наличии доступа во внутреннюю сеть для получения контроля над критическими ресурсами злоумышленнику требуется эксплуатация 7 уязвимостей.

Самыми распространенными уязвимостями ресурсов внутренней сети являются использование слабых паролей и недостатки фильтрации и защиты служебных протоколов канального и сетевого уровней (ARP, STP, DHCP, CDP): они встречаются в 92% систем. Далее идет использование открытых протоколов передачи данных (Telnet, FTP, HTTP) — 75% случаев.

image

Человеческий фактор


Уязвимости в оборудовании и конфигурациях программного обеспечения — далеко не единственная проблема безопасности, которая может открыть злоумышленнику доступ к корпоративной сети. Низкая осведомленность сотрудников компаний в вопросах информационной безопасности делает социальную инженерию опасным оружием в руках киберпреступников.

В среднем за два года исследований каждый пятый адресат рассылки, эмулирующей фишинг-атаку, осуществлял переход по предложенному адресу, 18% ввели свои данные или запустили прилагаемое к письму ПО, а 1% пользователей даже попытались вступить в диалог с автором небезопасного письма.

image

Выводы


В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получать доступ к критическим ресурсам, а также преодолевать внешний периметр сети.

Несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

С полной версией отчета об исследовании можно ознакомиться на сайте Positive Technologies.
Автор: @ptsecurity
Positive Technologies
рейтинг 349,69

Комментарии (33)

  • +14
    И после такого отчета — Positive Technologies?
    По теме — ужас :(
  • –7
    Чего уж говорить, везде поголовно стоит нелицензионный софт.
    Большинство так и сидят на сборках «Zver», где аккаунт по умолчанию администратора с «логин»=>«Admin»/ «паролем» = "".Эти же сборки используются в корпорациях ленивыми сисадминами плохими сисадминами. Уже не говоря о том, как даётся доступ в ад, большинству дают роль локального администратора, или пароль 12345 и так далее, таких мелких поблажек грубых ошибок очень много, что в совокупности сводит любые способы борьбы с пользователямипопытку ввести безопасность сводит на нет… Продолжать не хочу, лень, все видели, все знают, Все понимают, все молчат.
    В 99% случаев это связано с беспечностью необразованностью руководителей IT отделов, либо отдела кадров,
    • +7
      Как мне кажется, всё-таки компании, которые заказывают тестирование на проникновение, не совсем подходят под Ваше описание. Компаниям с ленивыми необразованными сисадминами и беспечными руководителями IT и кадров такие услуги вряд ли знакомы. Им не до того.
      • –1
        Возможно Вам и правда лишь так кажется, судя по вышеописанному материалу, независимо от Ваших слов, проблемы схожие во всех компаниях :)
        • +1
          Дело не в том. Беспечный руководитель не будет заказывать тест на проникновение. Ленивый сисадмин не захочет исправлять недостатки, выявленные по итогам этого теста. Поэтому мне и показалось, что под ваше описание компании «поголовно» не попадают.
          • 0
            Пентест не показатель. Взломать можно 99.9% систем. Наглядный результат пентеста — это эффектный способ выбить денег на ИБ у несговорчевого топ-менеджера.
            • 0
              Интересно ещё какой процент взломов замечают. Ибо одно дело — взломать и что-то украсть, а другое дело — ешё и сделать так, что про это никто ничего не узнает. Тут нужно не один раз провести тестирование, а много (а в идеале — делать это регулярно со случайными интервалами, чтобы так вот просто сотрудники не могли понять что к чему). Как много компаний это делают?
      • 0
        пентест является обязательным для соответствия PCI DSS, например. тут уже не важно насколько кто ленив и квалифицирован, он просто должен быть.
    • 0
      Насколько я помню, в виндовс XP и без всяких зверей есть предустановленный скрытый аккаунт «Administrator» или «Администратор» (в русской версии), с изначально пустым паролем. Но подключиться с этими данными по сети не получится, обязательно нужен не пустой пароль. Поправьте если я ошибаюсь.
      • 0
        аккаунт не является скрытым и если не изменяет память, то для него просят задать пароль при инициализации системы после установки.
  • 0
    Не удивлен :)
  • +10
    Ожидаемые результаты.
    Потому, что сисадмина можно называть ленивым, плохим, хреновым…
    Но только если этот сисадмин манагеру начнет втемяшивать в голову, что не каждую ссылку нужно открывать, то выслушает много от своей хреновости и ленивости…
    А еще о том, что за воротами стоит толпа на его место.
    А за пароль с циферками, то может и в глаз схлопотать.

    И таки да.
    Чем крупнее контора, тем сложнее в ней работать сисадмину, потому как он — фигня плюшевая, а манагер есть царЪ, богЪ и всякий источник благодатей на голову сисадмина, который ему поперек слова не скажет.

    А если «это бородатое чмо» еще и предложит отправить «АД в ад», а вместо этого поставить что-то более безопасное, то ему еще и свитер на голову натянут, потому как манагер уже получил откатов с объема закупки лицензионного софта.

    А теперь ще и информатику учить не обязательно, потому как зачем извилину мозолить…
    Ну что ж…
    Хотели?
    Нате…

    • 0
      Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе. Как скажут, так и будет.
      В офисе запрещены вайфаи, сетевые кабели разделены на защищенные и публичные по цвету, авторизация по rsa токену, девелоперские виртуалки объеденины в единую изолированную подсеть, есть список разрешенного для использования ПО, копи-паст и флешки из виртуалок не работают, инфосеки сканируют компьютеры и почту, бинарники по почте не передать, и т.д. и т.п.
      Очень раздражает что мне нужно 3 пароля, один пин код и 1 rsa токен чтобы попасть в корпоративную почту, но при всем при этом, если очень захотеть, вытащить что-то из системы — раз плюнуть.
      • +6
        Исключения, они обычно подтверждают правила.
        В вашем случае — даже еще больше.
        Инфосеки лютуют, но от незнания. Порождают мнимую безопасность и создают неудобства процессу.
        Те же проблемы с *дцатью паролями, пинкодами и прочим гамузом можно решить так, чтобы в работе это не мешало.
        Но тогда ни кто не будет видеть, как они грудью закрывают бреши в безатасности.

        А о том, что из системы можно важные данные потянуть, попробуй кому скажи…
        А если вдруг и покажи, как это делается, так не отмоешься потом.

        А сисадмин…
        Так это не должность, и не набор предписанных действий, заученный на память,
        а состояние души. Образ мысли, если хотите.
        От хорошего сисадмина секретов нет, и быть не может, иначе как он будет защищать то, чего не видит.
        А вот управлять им трудно, до полной невозможности.
        Но с ним можно договориться… Особенно, если простимулировать правильно и не мешать.

        Но то уже тема другой статьи ;)
      • 0
        «Вот Вы понаставили своих крутых систем безопасности, ДЛП и прочей бесполезной ботвы, а я возьму и на мобилу экран переснимаю» :)
        • 0
          Вау…
          А мы там, перед мониторами видеонаблюдения, уржемся всей толпой, наблюдая, как вы будете с экрана фоткать на мобилу базу клиентов, записей, эдак, на 10000000.

          Для пущего эффекта, строка на экран не влезет…
          А потом будем «ютюбить» этот ролик в кружке начинающих антикрякеров.

          Могу порекомендовать еще слить на мобилу, которая в качестве флешки, базы продуктивной SAP\R3…
          Для справок, там всего-то 500-600 Гиг средне-минимально…

          Снова поржем…

          P.S.
          Давайте о вкусе устриц будут говорить те, кто их пробовал.
          (с) НеПомнюКтоСказал.
          • 0
            Как не крути, DLP системы совсем не панацея, они спасают, только от «простых» пользователей.
            Любой человек который, хотя бы знает что такое dlp, чуть глубже чем на уровне аббревиатуры, может придумать, с десяток способов ее обхода.
            При этом в каждом конкретной ситуации свои нюансы, где-то достаточно, шифрованного архива, где-то шифрованного архива с расширением .txt, где то просто надо отправить zip бомбу перед своим сообщением. В крайнем случае, гугл может рассказать еще интересней.

            P.S.
            Вы не единственный, кто пробовал устрицы.
            • 0
              С применением аббревиатур из «чуждого нам» процесса продаж «шибко надежных» систем прекращает своё существование система информационной безопасности.
              Любое обсуждение каких-либо технологий (как кражи, так и защиты) имеет смысл только в контексте конкретного набора данных и текущих способов их получения, хранения и обработки.
              После этого планируется и внедряется некоторая система, обеспечивающая надежную защиту данных в процессе эксплуатации, в рамках построенной модели.
              А будет эта система признана DLP в рамках принятой «там» терминологии, уже не важно, если она обеспечивает решение поставленных задачь.
              Ошибочным будет и внедрение какой-либо «фирменной» DLP, разработанной для несколько иной структуры.

              Пока нет конкретной модели информационного процесса, любые обсуждения эффективности «фоткания с экрана» — не более, чем заполнение пауз между вдохом и выдохом дыма в курилке.

              P.S.
              Устицы? Не, не видел…
              • 0
                Абсолютно с вами согласен, что глупо обсуждать конкретные системы обеспечения ИБ, в отрыве от их среды.
                Я лишь пытался, сказать, что существующие на рынке комплексные «коробочные» решения с «ярлыком» DLP, как правило рассчитаны, на защиту от «среднестатистического» пользователя, а не на тех, кто подписан на хаб «информационная безопасность» на хабре.
                • 0
                  Надеюсь, хоть кто-нибудь из подписчиков этого хаба будет покупать не «среднестатистическое коробочное решение», а закажет (или сам построит) такое, которое подходит под его конкретную задачу.

                  Потому как иначе есть шанс пополнить статистику, с обсуждения которой всё и началось %)
      • 0
        >>Наверное не везде так, у нас в конторе сис админ и инфосеки — чуть ли не главные люди в офисе

        Это все потому что, у вас
        >>девелоперские виртуалки

        а у них
        >>манагер есть.

        В софтверных конторах как-то получше и с админами, и самим админам получше.
    • 0
      чем крупнее контора, тем больше формальных правил и требований. и правила эти устанавливает не сисадмин, который является лишь исполнителем и не манагер, который является просто пользователем.
      • 0
        Для начала, «манагеры» — это не должность, а состояние души.
        И управленческие должности бывают разного уровня, вплоть до верхнего эшелона.
        И чем выше этот уровень, тем меньше у «манагера» желания советоваться с сисадмином (или другим сотрудником ИТ отдела).
        В результате закупается и внедряется «система», которая не может обеспечить должного уровня защиты, потому как тот, кто принимал решение о приобретении, мало что понимал и/или плохо представлял себе реальную картину.
        Слышал про случай, когда для серверного комплекса со 100% *nix базой,
        было закуплено ПО под Win… И передано админам для внедрения…
        И сопровождалось «кулаком по столу».

        И в заключение: «просто пользователем» является любой (акцентирую!) сотрудник компании.
        Владелец, исполнительный директор, самый топ-преретоп-менеджер. И сисадмин туда же…
        Все они «просто пользователи».
        И если вдруг один из менеджеров верхнего уровня возомнил и затребовал себе исключительные режимы работы, то опаньки, извольте пополнять статистику.
        • 0
          на 90% твой коммент это лирика о том как не справедливо руководство относится к мнению сисадмина.
          но на самом деле, сисадмин и не должен формулировать требования ИБ.

          и если зрелость компании такова, что какой-то начальник может крутить вертеть безопасностью как ему хочется и бить кулаком по столу, то значит и ИБ риски у этой компании не так существенны, чтобы обращать на них внимание.
          • 0
            Не лирика, философия, скорее.
            Сисадмин не должен формулировать требования ИБ, но проконсультировать о том, какие механизмы в данной конкретной ситуации применить можно и нужно, а какие просто невозможно.
            Или обратить внимание на упущенные возможности атаки/утечки.
            Но для этого нужно «снизойти» до вопроса, а на это готовы далеко не все руководители.

            Ну а зрелость компаний и личностные проявления мы обсуждать не будем, однозначно.
            • 0
              понять какие механизмы можно и нужно применять можно и без мнения сисадмина.
  • 0
    Большинство ІТ-безопасности должно решатся на уровне политик компании. Но, как мы знаем, везде бывают сключения (большие боссы) :)
  • +5
    Графика красивая, молодцы!
  • +18
    «Даже начинающий хакер»
    Я взломаю банк и все девки будут мои, но мамка гонит делать уроки :((
  • 0
    В любой системе есть слабое звено. Спасибо за недвусмысленное указание, что чаще всего им является. Достойный материал!
  • +1
    Доводилось несколько раз наблюдать работу позитивщиков.
    Самое неприятное когда, после нескольких попыток пробиться через сетевой периметр, начинаются письма счастья. И всегда найдется коллега, который несмотря на тренинги, попадется на удочку и откроет.
    Причем и в случае например Снабженцев и ругаться вроде не за что, потому что, если человеку который постоянно принимает предложения от различных поставщиков с различных адресов, приходит «предложение на поставку». Он по должностной инструкции должен открыть и прочитать.
    • +1
      Вы считаете, что письма счастья — это нечестно?
      А как же принцип, что внутренние угрозы гораздо более опасны, чем внешние, и защищаться от них тоже нужно?
      • 0
        По правильному, по уму понятно, что «враг» пойдет на любые извороты, что-бы достичь желаемого. Эти факторы обязательно должны учитываться.

        Но по эстетике — обман и мошеннические схемы это уже не настоящее хакерство.в чистом виде. Одурачить можно любого, вот провести чистый взлом сложной системы, без участия человеческого фактора — это искусство.

        ps. Кстати, а что если Позитивщикам, нанять пару амбалов, и вылавливать сидминов проверяемой компании по одному.
        И под графой «Осведомленность сотрудников», завести графу «Моральная стойкость и крепкость духа».
        Ну и частные примеры — «сдал все пароли при угрожающем слове — »Слышь", к работе с критическими данными не рекомендуется." :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка