Итоги внешних пентестов: на что компаниям стоит обратить внимание?

Партнер группы компаний Angara Positive Technologies опубликовала аналитику результатов работы системы внешнего заказного анализа защищенности. 

Эксперты поделились следующими выводами (речь идет о технических атаках, атаки с использованием социальной инженерии здесь не использовались):

  • В большинстве компаний (93%) удалось преодолеть внешний периметр, причем в 71% случаев для этого не требовались сложные инструменты или знания.

  • В среднем на успешную атаку требовалось 4 дня. Минимум – 30 минут, максимум – 10 дней.

  • 77% успешных взломов происходили через web-приложение. Из них (возможна комбинация условий):

o   68% – подбор учетных данных

o   50% – эксплуатация уязвимости в коде web-приложения,

o   36% – эксплуатация уязвимости ПО известной ранее,

o   29% – использование недостатков конфигурации,

o   14% – эксплуатация уязвимости ПО неизвестной ранее.

  • Остальные атаки связаны с подбором учетных данных:

o   15% – подбор учетных данных для доступа к СУБД

o   6% – к службам удаленного доступа,

o   1% – к серверу FTP,

o   1% – доменные учетные данные и использование эксплоит.

  • У большого количества компаний были выявлены следы предыдущих атак злоумышленников – WEB-Shell (Remote Code Execution) бэкдор на видимых из сети Интернет ресурсах, вредоносные ссылки внутри официальных сайтов, наличие утечек, валидных баз учетных данных.
  • Только в 7% компаний экспертам не удалось преодолеть периметр.

Примечательно, что тестирование на проникновение проводилось по большей части в финансовых организациях, ИТ-компаниях, ТЭК, госучреждениях – компаниях, уделяющих достаточно большое внимание ИБ.

Парольная политика и ее выполнение остаются большой брешью безопасности: простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре. Они обнаруживаются в web-приложениях, доменных учетных данных, СУБД, ОС, на сетевом оборудовании, FTP-серверах. Слабые пароли включают использование соседних клавиш, словарных и коротких паролей, паролей формата [МесяцГод] в латинской раскладке, пароли по-умолчанию.

А также одной из частых проблем является использование устаревших версий ПО, и в связи с этим наличие на них старых известных уязвимостей (например OpenSSH CVE2018-15473CVE-2018-8284 в .NET Framework, CVE-2017-10271 в Oracle WebLogic Server).

Рекомендации

Качественно организовать периметр предприятия можно комплексным подходом к информационной безопасности. Основное внимание необходимо уделить следующим вопросам:

1. Использование NGFW уровня приложения (L7) с функциями IPS на периметре. Аудит сетевых политик и ресурсов, доступ к которым действительно необходим из внешней сети, остальные ресурсы необходимо закрыть.

2. Использование средств анализа исходного кода для публичных web-ресурсов.

3. Обратить пристальное внимание на защиту публичных web-ресурсов средствами WAF и продуманной сегментацией (использование DMZ и других выделенных сегментов со строгой политикой доступа из них во внутренние сегменты).

4. Отключать лишние сервисы, удалять на публичных ресурсах лишние пакеты (например FTP), контроль настроек (например запретить root для SSH подключений, использовать sudo, отключение по возможности сервиса Autodiscovery в ПО Microsoft Exchange Client Access Server). Для проверки ресурс рекомендуется регулярно сканировать средствами комплексного анализа защищенности. Группа компаний Angara рекомендует использовать решения:

a.       Positive Technologies MaxPatrol и режим анализа защищенности

b.       Tenable (Nessus) Vulneradility Assessment.

c.       Qualys.

5. Интеграция с SOC всех внешних систем, использование TI сервисов – для своевременного обнаружения следов компрометации и присутствия злоумышленника в сети.

Другие публикации

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

CNEWS: В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики

В 2023 году ритейл и e-commerce вошли в топ-3 самых атакуемых отраслей российской экономики. Об этом CNews сообщили представители Angara Security.

актуально
рекомендации

18.10.2024

Эксперты Angara Security представили рекомендации по защите банковского сектора от DDoS-атак

В течение нескольких дней 23 и 24 июля российский банковский сектор подвергся целенаправленным DDoS-атакам из-за...

актуально
рекомендации

16.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах