Специалисты Positive Technologies проанализировали состояние защищенности российских компаний. В ходе пентестов, проведенных в 2021-2022 годах, выяснилось, что 96% организаций не защищены от проникновения в локальную сеть: во всех был получен полный контроль над инфраструктурой. На получение доступа во внутреннюю сеть компании в среднем требовалось пять дней и четыре часа.
Отчет компании гласит, что уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким. Так, в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.
Вот некоторые интересные цифры и выводы из отчета экспертов:
- в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть;
- в 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов, а в среднем для этого требовалось четыре шага;
- самая быстрая атака была проведена пентестерами всего за час;
- в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
Основными точками входа в сети организаций стали уязвимости и недостатки конфигурации веб-приложений. Хуже того, такие векторы были обнаружены во всех компаниях без исключения.
Среди всех векторов проникновения, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей.
Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО, а в половине исследованных компаний были обнаружены критически опасные уязвимости в коде веб-приложений.
При проведении внешнего пентеста выяснилось, что потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации в 9 из 10 компаний. Например, к сведениям, составляющим коммерческую тайну.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена, а получить доступ к конфиденциальной информации оказалось возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний.
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров, хищение денежных средств, остановка ключевых бизнес-процессов.
«Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации, — комментирует аналитик Positive Technologies Яна Юракова. — В среднем на осуществление недопустимого события злоумышленникам потребовалось бы 10 дней. В некоторых случаях для этого даже не требовалось получать максимальные привилегии в домене. Большая часть недопустимых событий, для которых была доказана возможность их реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%)».
