Локальные вычислительные сети компаний под угрозой

АО "Позитив текнолоджиз" (Positive Technologies) опубликовало исследование об информационной безопасности (ИБ) "Итоги пентестов 2023". Эксперты проанализировали результаты тестирований, проведенных за весь 2023 г., на внутреннее и внешнее проникновение (пентестов) в локальные вычислительные сети (ЛВС) 24 компаний из ИТ-индустрии, финансов, промышленности, телекоммуникаций, сферы услуг, строительства, космической отрасли, фармацевтики, энергетики и пришли к неутешительным выводам.

96% ЛВС организаций, участвовавших в тестировании, оказались не защищены от внешнего проникновения во внутреннюю сеть, и только в 4% компаний исследователи оказались ограничены демилитаризованной зоной (ДМЗ) - специальным буферным пространством между интернетом и внутренней сетью.

Ситуация становится еще хуже, если злоумышленник уже внутри ЛВС. Аналитики Positive Technologies рассказали, что во время тестов им удалось захватить контроль над каждым тестируемым доменом.

Среди наиболее уязвимых для внешних атак продуктов исследователи назвали системы управления контентом (24%), почтовые серверы (23%) и системы управления проектами (6%). Самыми распространенными типами угроз в веб-приложениях стали внедрение SQL-кода (22%), утечка информации (14%) и загрузка произвольных файлов (8%).

Во время тестирования угроз изнутри эксперты Positive Technologies исходили из ситуации, когда злоумышленник уже имеет доступ к ЛВС и пытается получить максимальные привилегии внутри системы. В среднем на это потребовалось от четырех до восьми шагов. В подавляющем большинстве систем сложность этих действий варьировалась от низкой (38%) до средней (50%). Самый быстрый тест по получению максимальных привилегий занял 6,5 часа.

Авторы исследования выделяют несколько причин уязвимости ЛВС, среди которых устаревание и несвоевременное обновление программного обеспечения (ПО) ИБ и исходный код веб-приложений. В семи из 10 инфраструктур было возможно подобрать учетные данные для несанкционированного входа с помощью атак, направленных на перебор паролей учетных записей (Password guessing), и атак, направленных на подбор пароля с помощью заранее подготовленного списка популярных словарных паролей (Password spraying).

Для обеспечения безопасности веб-приложений специалисты Positive Technologies рекомендуют регулярно проводить анализ защищенности, внедрять процессы безопасной разработки и управления уязвимостями, использовать межсетевые экраны уровня приложений для защиты от атак. Для максимального снижения риска, который могут нести решения поставщиков, необходимо своевременно обновлять используемое ПО, отслеживать уведомления о новых обнаруженных уязвимостях и патчах безопасности.

"Как и в 2022 г., доля уязвимых к внешнему нарушителю компаний осталась прежней - 96%. В тех организациях, в которых мы получили доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. Тогда этот показатель также был максимальным. Необходимо отметить, что организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению безопасности по их результатам, в итоге выходят на более высокий уровень защищенности. Систематически проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ранних этапах - до наступления недопустимых последствий", - заключили авторы исследования.

Ведущий инженер АО "Корп софт" Михаил Сергеев отметил, что правильно защищенную систему практически невозможно пробить снаружи, а попасть внутрь может быть очень сложно из-за ее изоляции от интернета.

"Серверы и сервисы зачастую защищаются фаерволом, который просто не дает возможность подключиться к порту. Даже если сервис уязвим, то злоумышленник не может воспользоваться этой уязвимостью, так как упирается в стену (фаервол). Но внутри ЛВС очень часто нет фаерволов или доступ с конкретных серверов разрешен, поэтому, проломив какой-нибудь простой и некритичный сервер, хакер уже с него может взломать другие", - рассказал Михаил Сергеев.

Руководитель направления информационной безопасности АО "Инфозащита" (iTPROTECT) Кай Михайлов заметил, что внешние ресурсы любой компании сканируются тысячи раз за день автоматическими сканерами в поисках уязвимостей.

"Называть каждое такое сканирование серьезной атакой нельзя, но их количество во много раз превышает внутренние угрозы. Если говорить именно о направленной атаке на конкретную организацию с предварительной разведкой, конкретной целью, например ради промышленного шпионажа, то внешние атаки также преобладают над внутренними. Проще найти уязвимости на периметре либо воспользоваться техникой социальной инженерии для проникновения внутрь, чем подсаживать или перекупать сотрудников. Тем не менее внутренние угрозы широко распространены, но в других пропорциях. Гораздо чаще возникают ситуации, когда внутренний сотрудник по разным причинам выгружает данные в Сеть, создавая утечки. В меньшей степени, особенно во время направленных атак, злоумышленники получают доступ во внутреннюю сеть с помощью невнимательных сотрудников", - рассказал Кай Михайлов.

"Вас ежедневно могут "атаковать" сотни низкоуровневых ботов, и они не добьются ничего, а одна атака изнутри прекратит существование компании. В среднем, если смотреть соотношение полноценных атак, то оно будет 80% внешних к 20% внутренних", - согласился руководитель направления сервисов защиты облачного провайдера ООО "Нубес" (Nubes) Александр Быков.

Технический директор ООО "Русием" Валерий Купрюшин обратил внимание, что внутренние атаки могут пользоваться большим успехом из-за неподкованности сотрудников в вопросах информационной безопасности.

Защитить сервис может его закрытие от интернета, заметил Михаил Сергеев, но это сработает только при условии, что он внутренний, а если сервис публичный, то нужно устанавливать все обновления безопасности, даже если ради этого придется обходить санкции.

"В долгосрочной перспективе есть смысл переходить на отечественные продукты в рамках импортозамещения", - посоветовал Михаил Сергеев.

Валерий Купрюшин добавил, что повысить безопасность ЛВС можно с помощью правильно настроенной парольной политики, включающей многофакторную аутентификацию, софт для генерации и хранения паролей, требования к их сложности и обучение сотрудников основам ИБ.

"Самая распространенная атака - это фишинг, и она по-прежнему довольно успешна именно из-за того, что большинство пользователей не знают правила цифровой гигиены. Важно иметь в команде компетентных ИБ-специалистов, которые бы работали не только с софтом, но и с коллегами", - заметил Валерий Купрюшин.

Отдельного упоминания, по мнению Кая Михайлова, заслуживает защита HTTP-приложений WAF, фильтрующих web-запросы и осуществляющих функцию контроля, которая не предусмотрена приложением по причине устаревших технологий или кодовой базы, но от внутренней атаки защититься полностью невозможно.

"В конце концов на работу может устроиться неблагонадежный системный администратор. Но на такой случай существуют надежные системы контроля - например, Privileged access management (PAM), которая позволяет следить за действиями пользователей с привилегированными учетными записями. Если говорить о многоступенчатой внутренней атаке, то подход разделения привилегий и доступов хорошо зарекомендовал себя на протяжении многих лет", - заметил Кай Михайлов, в должностные обязанности которого входит управление доменом.

"Защитить систему изнутри намного сложнее, - согласился Михаил Сергеев. - Но есть несколько советов. Разрешайте подключаться одним серверам к другим только по определенным нужным сервису портам, устанавливайте обновления безопасности, настройте аудит и логи, выдавайте пользователям только ограниченные права, только к нужным сервисам, выносите уязвимые или публичные сервисы в отдельную демилитаризованную зону и обучите сотрудников основам безопасности."

"Прежде всего, обезопаситься можно с помощью правильной настройки парольной политики, включающей многофакторную аутентификацию, использование софта для генерации и хранения паролей, требования к их сложности, и обучения сотрудников основам ИБ. Самая распространенная атака - это фишинг, и она по-прежнему успешна именно из-за того, что большинство пользователей не знают правил цифровой гигиены. Важно иметь в команде компетентных ИБ-специалистов, которые бы работали не только с софтом, но и с сотрудниками", - заключил Валерий Купрюшин.