Найти в Дзене
ServerNews
2422 подписчика

Positive Technologies: российские компании не защищены от проникновения во внутреннюю сеть

2
1 мин
В 96 % организациях злоумышленники могли преодолеть сетевой периметр и проникнуть во внутреннюю сеть, показал анализ систем на наличие уязвимостей (пентесты) компании Positive Technologies за 2021–2022 гг. Самая быстрая атака была проведена пентестерами за час. 57 % протестированных компаний входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. Большая часть исследуемых организаций (63 %) — это представители финансовой отрасли, промышленные предприятия и госучреждения. Positive Technologies: Максимальный уровень риска уязвимостей, выявленных во время внешнего пентеста (доли организаций) Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14 % включали эксплуатацию уязвимостей нулевого дня. В половине исследованных компаний выявлены критически опасные уязвимости в коде веб-приложений. При проведении внешнего пентеста в 9 из 10 комп

В 96 % организациях злоумышленники могли преодолеть сетевой периметр и проникнуть во внутреннюю сеть, показал анализ систем на наличие уязвимостей (пентесты) компании Positive Technologies за 2021–2022 гг. Самая быстрая атака была проведена пентестерами за час. 57 % протестированных компаний входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. Большая часть исследуемых организаций (63 %) — это представители финансовой отрасли, промышленные предприятия и госучреждения.

📷
📷

Positive Technologies: Максимальный уровень риска уязвимостей, выявленных во время внешнего пентеста (доли организаций)

Основными точками входа стали уязвимости и недостатки конфигурации веб-приложений. Среди всех векторов проникновения в сеть, в которых использовались уязвимости веб-приложений, 14 % включали эксплуатацию уязвимостей нулевого дня. В половине исследованных компаний выявлены критически опасные уязвимости в коде веб-приложений. При проведении внешнего пентеста в 9 из 10 компаний потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации (КИ), например, к сведениям, составляющим коммерческую тайну.

📷
📷

Positive Technologies: Минимальное число шагов для проникновения в локальную сеть (доли организаций)

При проведении внутреннего пентеста выяснилось, что в 100 % организаций киберпреступники могли бы получить полный контроль над ресурсами домена, в 68 % компаниях — доступ к КИ. В 85 % организаций выявлены уязвимости, связанные с недостатками парольной политики, в 60 % компаний — с использованием устаревших версий ПО. На получение доступа во внутреннюю сеть исследуемых организаций в среднем потребовалось всего 5 дней и 4 часа, а на получение наивысших привилегий в их — еще 5 дней. А в 7 % организаций, как выяснилось, уже «навещали» злоумышленники.

Больше интересных новостей на сайте Servernews:
• Минцифры планирует легализовать «белых хакеров»
Специалист по безопасности смог проникнуть на закрытую территорию ЦОД, используя общедоступные планы коммуникаций
• В России создадут консорциум для противодействия хакерским атакам