Партнер группы компаний Angara Positive Technologies опубликовала аналитику результатов работы системы внешнего заказного анализа защищенности.
Эксперты поделились следующими выводами (речь идет о технических атаках, атаки с использованием социальной инженерии здесь не использовались):
-
В большинстве компаний (93%) удалось преодолеть внешний периметр, причем в 71% случаев для этого не требовались сложные инструменты или знания.
-
В среднем на успешную атаку требовалось 4 дня. Минимум – 30 минут, максимум – 10 дней.
-
77% успешных взломов происходили через web-приложение. Из них (возможна комбинация условий):
o 68% – подбор учетных данных
o 50% – эксплуатация уязвимости в коде web-приложения,
o 36% – эксплуатация уязвимости ПО известной ранее,
o 29% – использование недостатков конфигурации,
o 14% – эксплуатация уязвимости ПО неизвестной ранее.
-
Остальные атаки связаны с подбором учетных данных:
o 15% – подбор учетных данных для доступа к СУБД
o 6% – к службам удаленного доступа,
o 1% – к серверу FTP,
o 1% – доменные учетные данные и использование эксплоит.
- У большого количества компаний были выявлены следы предыдущих атак злоумышленников – WEB-Shell (Remote Code Execution) бэкдор на видимых из сети Интернет ресурсах, вредоносные ссылки внутри официальных сайтов, наличие утечек, валидных баз учетных данных.
-
Только в 7% компаний экспертам не удалось преодолеть периметр.
Примечательно, что тестирование на проникновение проводилось по большей части в финансовых организациях, ИТ-компаниях, ТЭК, госучреждениях – компаниях, уделяющих достаточно большое внимание ИБ.
Парольная политика и ее выполнение остаются большой брешью безопасности: простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре. Они обнаруживаются в web-приложениях, доменных учетных данных, СУБД, ОС, на сетевом оборудовании, FTP-серверах. Слабые пароли включают использование соседних клавиш, словарных и коротких паролей, паролей формата [МесяцГод] в латинской раскладке, пароли по-умолчанию.
А также одной из частых проблем является использование устаревших версий ПО, и в связи с этим наличие на них старых известных уязвимостей (например OpenSSH CVE2018-15473, CVE-2018-8284 в .NET Framework, CVE-2017-10271 в Oracle WebLogic Server).
Рекомендации
Качественно организовать периметр предприятия можно комплексным подходом к информационной безопасности. Основное внимание необходимо уделить следующим вопросам:
1. Использование NGFW уровня приложения (L7) с функциями IPS на периметре. Аудит сетевых политик и ресурсов, доступ к которым действительно необходим из внешней сети, остальные ресурсы необходимо закрыть.
2. Использование средств анализа исходного кода для публичных web-ресурсов.
3. Обратить пристальное внимание на защиту публичных web-ресурсов средствами WAF и продуманной сегментацией (использование DMZ и других выделенных сегментов со строгой политикой доступа из них во внутренние сегменты).
4. Отключать лишние сервисы, удалять на публичных ресурсах лишние пакеты (например FTP), контроль настроек (например запретить root для SSH подключений, использовать sudo, отключение по возможности сервиса Autodiscovery в ПО Microsoft Exchange Client Access Server). Для проверки ресурс рекомендуется регулярно сканировать средствами комплексного анализа защищенности. Группа компаний Angara рекомендует использовать решения:
a. Positive Technologies MaxPatrol и режим анализа защищенности
b. Tenable (Nessus) Vulneradility Assessment.
c. Qualys.
5. Интеграция с SOC всех внешних систем, использование TI сервисов – для своевременного обнаружения следов компрометации и присутствия злоумышленника в сети.
