Эксперты Positive Technologies рассказали о результатах тестированиий на проникновение[1], проведенных для организаций в 2023 году. Исследователи верифицировали возможность реализации 90% недопустимых событий, дополнительно обозначенных заказчиками. Эксперты выяснили, что каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.
Исследователи проанализировали результаты проектов по внутренним и внешним пентестам в российских организациях в различных отраслях: ИТ (25%), финансовой сфере (23%), промышленности (13%) и других. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% представляли серьезную опасность. Основными причинами неудовлетворительного состояния защищенности организаций стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики. Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций. Уязвимости, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, называются трендовыми. Их необходимо устранять в первую очередь.
Результаты исследования показали, что основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN[2] и Citrix[3]).
«Чтобы избежать появления трендовых уязвимостей в инфраструктуре компаний, эксперты Positive Technologies рекомендуют вовремя обновлять ПО, а также использовать системы управления уязвимостями. Например, MaxPatrol VM: информация о трендовых уязвимостях поступает в продукт в течение 12 часов. Начиная с версии 2.5 система нового поколения анализирует защищенность веб-приложений. Это позволяет узнавать об уязвимостях и на периметре, и в ключевых системах внутри инфраструктуры. Благодаря этому эксперты могут вовремя среагировать и принять меры по усилению защищенности», — комментирует Григорий Прохоров, аналитик исследовательской группы Positive Technologies.
В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. Кибератаки низкого уровня сложности может проводить нарушитель, который имеет лишь базовые знания и пользуется общедоступными эксплойтами[4] и автоматизированным ПО для проведения атак. Например, в таких векторах можно задействовать две уязвимости в Microsoft Exchange с общедоступными эксплойтами: первую — для удаленного выполнения кода (CVE-2022-41082), вторую — для повышения привилегий (CVE-2022-41080). Эксплуатация такой комбинации уязвимостей позволит злоумышленнику проникнуть внутрь системы и повысить привилегии на узле. Это может привести к реализации недопустимых для организации событий.
Эксперты рекомендуют компаниям уделить особое внимание парольной политике, безопасности веб-приложений и уязвимостям продуктов сторонних вендоров, используемых в информационных системах. Для усиления безопасности веб-приложений необходимо внедрять регулярный анализ защищенности, методы безопасной разработки и управления уязвимостями, а также использовать межсетевые экраны уровня приложений. Кроме того, важно использовать системы мониторинга инфраструктуры компаний. Например, MaxPatrol SIEM, который оперативно обнаруживает подозрительную активность в ИТ-инфраструктуре и своевременно сообщает о ней специалистам. Для снижения риска рекомендуется регулярно обновлять программное обеспечение, следить за уведомлениями о новых уязвимостях и патчах безопасности.
[1] Тестирование на проникновение, или пентест — это работа по оценке защищенности информационной системы, которая подразумевает под собой моделирование реальных атак злоумышленников и подтверждение возможности нанести организации ущерб (финансовый, репутационный или другой) во время настоящей атаки.
[2] VPN (virtual private network) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений.
[3] Приложение Citrix Workspace для Windows предоставляет доступ к приложениям и рабочим столам с удаленного клиентского устройства с помощью ресурсов Citrix Virtual Apps and Desktops и Citrix DaaS (ранее — служба Citrix Virtual Apps and Desktops).
[4] Эксплойт — вредоносный код, который использует ошибки или недостатки системы безопасности для распространения киберугроз.
