Хакер может реализовать 71% недопустимых для бизнеса событий

Эксперты Positive Technologies проанализировали результаты тестирования на проникновение и выяснили, что в 93% случаев внешний злоумышленник может преодолеть сетевой периметр и получить доступ к ресурсам локальной сети, причем на проникновение во внутреннюю сеть компании в среднем уходит два дня. В 100% исследованных компаний внутренний злоумышленник может получить полный контроль над инфраструктурой.

Исследование проводилось среди финансовых организаций (29%), организаций ТЭК (18%), в государственных (16%), промышленных (16%) и IT-компаниях (13%), а также в компаниях из некоторых других отраслей.

В ходе работ по анализу защищенности от внешнего злоумышленника экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов. По данным экспертов компании, этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь.

«В 20% проектов была проведена верификация недопустимых для компаний событий ИБ, — говорит руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева. – В данных проектах компании в среднем обозначали шесть недопустимых событий, которые необходимо было реализовать. По мнению наших клиентов, наибольшую опасность для них представляют события, связанные с нарушением технологических процессов, процессов оказания услуг, кражей денежных средств и важной информации. Всего удалось подтвердить возможность реализации 71% обозначенных событий . Примечательно, что на атаку, которая приведет к реализации недопустимого события, злоумышленнику потребуется не больше месяца. Развитие атак на некоторые системы и вовсе может произойти за считаные дни».

Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке специалистам удалось выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг.

Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.

Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. По данным исследования, в среднем на проникновение во внутреннюю сеть компании уходит два дня. Основным способом проникновения в корпоративную сеть эксперты назвали подбор учетных данных (71% проектов), в первую очередь связывая это с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.

Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к ключевым компьютерам и серверам. Получить доступ в изолированные сегменты сети нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. По данным исследования, в большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак до тех пор, пока не будут реализованы несколько недопустимых событий одновременно.

«Чтобы выстроить эффективную систему защиты, необходимо понимать, какие недопустимые события актуальны для той или иной компании, — комментирует Екатерина Килюшева. — Идя по пути бизнес-процесса от недопустимых событий к целевым и ключевым системам, можно отследить взаимосвязи и определить последовательность применяемых мер по защите. Чтобы затруднить продвижение злоумышленника внутри корпоративной сети по направлению к целевым системам, мы предлагаем ряд взаимозаменяемых и взаимодополняемых мер, среди которых разделение бизнес-процессов, контроль безопасности конфигурации, усиленный мониторинг и удлинение цепочки атаки. Выбор тех или иных решений должен основываться на возможностях компании и ее инфраструктуре».