Бизнес под угрозой из-за простых паролей
ИБ-специалисты предупреждают, что недостатки, которые связаны с паролями, могут скомпрометировать внутреннюю сеть и утечки критически важных для организации конфиденциальных данных. Особенно опасно то, что эксплуатация таких недостатков не требует со стороны злоумышленников специальных технических средств и позволяет им долго оставаться незамеченными внутри корпоративной сети.
В основу исследования "Ростелеком-Солар" легли данные, которые специалисты получили во время киберучений, тестирований на проникновение и проектов по анализу защищенности заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности. Имитация атак предполагала два сценария: проникновение в корпоративную сеть извне, а также имитацию действий внутреннего нарушителя.
Самой распространенной ошибкой, которую выявили исследователи при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей - например, "admin/admin", "admin/12345" и т.п., а также отсутствие блокировок учетных записей. Это позволяет злоумышленникам проводить атаки на подбор паролей.
По информации "Ростелеком-Солар", основной недостаток, обнаруженный при внутреннем тестировании на проникновение, - использование сотрудниками одинаковых паролей учетных записей с различными правами. В целях безопасности системным администраторам, как правило, выдаются две учетные записи: пользовательская, в которой работает сотрудник, и привилегированная административная, которую использует в большинстве случаев только администратор. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности, пояснил представитель "Ростелеком-Солар".
Также распространенная ошибка - хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. В части организаций специалисты выявили недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов. Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено, и это обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.
Решить проблему, по мнению руководителя отдела анализа защищенности "Ростелеком-Солар" Александра Колесова, можно введением двухфакторной аутентификации пользователей. Однако сейчас из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступный вариант - обучение сотрудников основам кибергигиены.
По данным Positive Technologies, при проведении внутренних тестов в 96% компаний удавалось подобрать учетные данные пользователей. Простые и словарные пароли пользователей - основные недостатки защиты и на сетевом периметре. "Результаты внутренних и внешних тестирований на проникновение, которые провели наши специалисты в прошлом году, показали, что одним из самых популярных оказался пароль - название месяца в латинской раскладке и год", - рассказала представитель Positive Technologies Екатерина Килюшева. Такие пароли встречались в каждой третьей компании, а в одной организации были подобраны более чем для 600 пользователей.
По информации Positive Technologies, на сетевом периметре ненадежные пароли чаще всего используются для доступа к веб-приложениям (в 89% компаний), к сервисам с доменной аутентификацией (50%), и СУБД (25%), а в локальной сети часто встречаются простые пароли для подключения к ресурсам домена (87%) и операционным системам (61%). "На сетевом периметре широко распространены пароли с использованием соседних клавиш - в 61% компаний их применяют пользователи, а в 32% компаний - администраторы. Пароли из менее чем восьми символов используют 54% пользователей и 11% компаний, словарные пароли - 39% и 50% соответственно", - приводит данные Екатерина Килюшева. По ее словам, по сравнению с 2018 г. положительных изменений нет. То же касается и подходов к созданию паролей: так, в позапрошлом году близкие сочетания клавиш на клавиатуре использовались в 25% систем администраторами и в 38% систем - пользователями, а для доступа к 31% систем администраторы корпоративных ресурсов использовали пароль "Admin" и его вариации.
Аналитик компании "Доктор Веб" Вячеслав Медведев говорит, что проблема не только в паролях. "Огромное число компаний - по западной статистике 96% - не знает о современных угрозах в достаточном объеме. И, соответственно, не предпринимают необходимых мер защиты. Причем это касается компаний любого размера", - считает специалист по ИБ.
По его мнению, с каждым годом ситуация в целом ухудшается, потому что компании привыкают игнорировать требования безопасности - в том числе законодательные. Не растут бюджеты на безопасность, к тому же в компании все больше приходят люди, которые привыкли к открытости, а не к заботе о безопасности.
"Пароль 12345678 не теряет своей популярности. Что говорить, если не так давно президент одной из европейских стран использовал подобный пароль. Усилится ли эта проблема в связи с удаленкой из-за пандемии? Как надежные пароли не использовали, так и не будут. Сотрудники на удаленке вздохнут свободно, так как рядом теперь не маячат надоевшие безопасники с требованиями использовать сложный пароль. Все останется, как и было. Но люди выйдут из-под зонтика корпоративной защиты, не взяв ответственность за свои действия", - подытожил представитель "Доктор Веб".