Эксперты компании по анализу защищенности DSEC, входящей в группу «Солар», провели исследование, основанное на данных 390 проектов по анализу защищённости и тестированию на проникновение, проведённых для компаний из финансового сектора, промышленности, ИТ-сферы и госучреждений.
Результаты неутешительны и свидетельствуют о сохранении системных проблем в области кибербезопасности. Главным «слабым звеном» по-прежнему остаются человеческий фактор и банальные ошибки в эксплуатации ИТ-инфраструктуры, а именно использование слабых паролей и отсутствие должного контроля доступа.
Как говорится, уж сколько раз твердили миру, но статистика неумолима: внутренние сети компаний наиболее уязвимы из-за пренебрежения базовыми правилами гигиены паролей. В 73% случаев специалисты фиксировали использование сотрудниками паролей по умолчанию или применение одной и той же комбинации для доступа к разным учётным записям. Подобная практика создает критический риск для всей инфраструктуры, так как компрометация одного пароля открывает злоумышленнику путь к множеству внутренних сервисов и систем.
В ходе моделирования атак из локальной сети, то есть внутреннего пентеста, экспертам в 87% проектов удалось получить контроль над доменом, базами данных или иными критичными объектами. При этом в среднем у атакующего было как минимум два различных вектора для достижения этой цели. Основными брешами здесь стали слабые или дефолтные (53% проектов), устаревшее программное обеспечение с известными уязвимостями (42%), а также некорректные настройки контроля доступа (37%). Повторное использование паролей, выявленное в 20% случаев, лишь усугубляло ситуацию, позволяя гипотетическому взломщику масштабировать атаку на всю сеть.
Не менее тревожная ситуация наблюдается и на внешнем периметре. В 78% проектов по внешнему тестированию моделируемый хакер мог бы использовать найденные недостатки для проникновения во внутреннюю сеть компании или получения доступа к чувствительным данным. Здесь лидирующие позиции заняли ошибки конфигурации контроля доступа (33% случаев), а также использование устаревших версий программного обеспечения (28%). Серьёзную угрозу представляют и технические уязвимости веб-приложений: в 47% проверенных приложений была обнаружена хотя бы одна критическая уязвимость, причём наиболее распространёнными стали проблемы с контролем доступа (46%) и возможностью SQL-инъекций (14%). Анализ исходного кода также выявил проблемы в 42% случаев, что в перспективе грозит утечкой персональных данных пользователей, включая паспортные.
Отдельно эксперты отмечают уязвимости корпоративных Wi-Fi-сетей, где в 43% проектов некорректные настройки и отсутствие сетевых разграничений позволили бы получить несанкционированный доступ во внутреннюю сеть.
Исследование в очередной раз подтвердило, что даже самые совершенные технические средства защиты могут оказаться бесполезными без должного обучения персонала. Симуляция фишинговых атак дала красноречивые результаты: в 100% случаев хотя бы один сотрудник перешел по вредоносной ссылке, а в 86% проектов жертвы ввели свои учётные данные на фишинговом сайте или запустили вредоносное ПО. Общее количество выявленных за год уязвимостей, превысившее 5,3 тыс., складывается из совокупности технических недочётов, ошибок конфигурации и низкой цифровой грамотности пользователей.
В связи с этим эксперты DSEC рекомендуют компаниям сделать акцент на превентивных мерах, включающих обязательный анализ безопасности приложений на этапе их разработки и перед запуском, регулярное проведение внутренних и внешних пентестов, а также внедрение комплексного подхода к защите, который охватывает все элементы инфраструктуры и предполагает непрерывное повышение осведомлённости сотрудников в вопросах информационной безопасности.
