В Positive Technologies провели исследование на проникновение, по результатам которого стало ясно, что около половины действий киберпреступников в сети не отличаются от активности простого пользователя интернета.
В опубликованном по результатам исследования отчете сказано, что даже те киберпреступники, которые не обладают достаточным опытом и умениями, могут получить доступ к администрированию внутренних сетей крупных организаций и корпораций, систем.
В 2019 г. компания Positive Technologies тестировала сети сразу нескольких крупных организаций, работающих в различных отраслях деятельности. В итоге в 100% тестируемых предприятий удалось получить доступ к инфраструктуре с позиции внутреннего нарушителя. Для получения доступа эксперты затрачивали обычно 2-3 дня. В одном из тестов специалисты Positive Technologies получили контроль над внутренней инфраструктурой предприятия через 10 минут после начала теста.
В отчете сказано, что в 60% организаций были найдены один или несколько способов, позволяющих обеспечить контроль над внутренними сетями.
Также исследователи утверждают, что в половине случаев (около 47%) кибератака активно развивается на инфраструктуру конкретной организации совершенно легитимно – у ИБ-специалистов не возникнет причин подозревать действия киберпреступника, потому что их почти невозможно отличить доступными средствами от активности простого пользователя или администратора сети.
К таким неподозрительным действиям относят: создание учетных записей с привилегированными правами, выгрузка ветвей реестра, создание дампа памяти процесса lsass.exe и т. д. При подобной активности киберпреступников практически нельзя отличить ее от обычных действий простых интернет-пользователей и сотрудников организации.
Во время тестирования специалисты Positive Technologies использовали специальный вектор атаки, состоящий из шести основных шагов. Методы кибератак во внутренних сетях базировались не только на использовании уязвимостей программного обеспечения, но и на применении архитектурных особенностей конкретной операционной системы, а также специфики аутентификации, осуществлении легитимных действий, которые уже предусмотрены функциональными возможностями тестируемой системы.
При тестировании эксперты из Positive Technologies использовали различные виды атак:
- легитимные действия (96% успешных кибератак);
- подбор авторизационных данных (96%);
- применение архитектурных особенностей операционной системы (83%);
- применение архитектурных особенностей Kerberos (83%);
- использование обнаруженной ранее уязвимости программного обеспечения (70%);
- применение архитектурных особенностей NTLM (57%);
- эксплуатация минусов сетевой безопасности (13%);
- использование неизвестной ранее уязвимости программного обеспечения (9%).
