73% włamań do sieci korporacyjnych w 2017 r. było możliwe dzięki wykorzystaniu luk w aplikacjach
Analiza testów penetracyjnych przeprowadzonych przez badaczy z Kaspersky Lab w sieciach korporacyjnych w 2017 r. wykazała, że trzy czwarte (73%) skutecznych włamań powiodło się dzięki wykorzystaniu aplikacji internetowych zawierających luki w zabezpieczeniach.
Wyniki zostały podsumowane w nowym raporcie „Ocena bezpieczeństwa korporacyjnych systemów informacyjnych w 2017 r.”.
Każda infrastruktura IT jest unikatowa, a najbardziej niebezpieczne ataki są planowane z uwzględnieniem luk w zabezpieczeniach określonej organizacji. Każdego roku dział Security Services firmy Kaspersky Lab przeprowadza praktyczny pokaz potencjalnych scenariuszy ataków, aby pomóc organizacjom na całym świecie zidentyfikować luki w zabezpieczeniach swoich sieci oraz uniknąć szkód finansowych, operacyjnych i wizerunkowych. Celem corocznego raportu z testów penetracyjnych jest zwrócenie uwagi specjalistów ds. bezpieczeństwa IT na istotne luki w zabezpieczeniach oraz wektory ataków na współczesne korporacyjne systemy informacyjne, a tym samym wzmocnienie ochrony organizacji.
Wyniki badania przeprowadzonego w 2017 r. pokazują, że ogólny poziom ochrony przed intruzami z zewnątrz był oceniany nisko lub bardzo nisko w przypadku 43% analizowanych firm. 73% skutecznych ataków zewnętrznych na sieci organizacji w 2017 r. było możliwe dzięki wykorzystaniu luk w aplikacjach internetowych. Innym powszechnym wektorem penetracji sieci był atak na publicznie dostępne interfejsy zarządzania posiadające słabe lub domyślne dane uwierzytelniające. W przypadku 29% zdalnych testów penetracyjnych eksperci z Kaspersky Lab zdołali uzyskać najwyższe przywileje w całej infrastrukturze IT, w tym dostęp na poziomie administratora do najważniejszych systemów biznesowych, serwerów, sprzętu sieciowego oraz stacji roboczych pracowników w imieniu „osoby atakującej”, która nie posiadała żadnej wiedzy wewnętrznej na temat atakowanej organizacji.
Jeszcze gorzej przedstawiała się sytuacja bezpieczeństwa informacyjnego w sieciach wewnętrznych firm. Poziom ochrony przed atakującymi z wewnątrz został określony jako niski lub bardzo niski w przypadku 93% analizowanych firm. Najwyższe przywileje w sieci wewnętrznej zostały uzyskane w 86% analizowanych firm; w przypadku 42% z nich cel ten osiągnięto w zaledwie dwóch krokach podjętych w ramach ataku. Średnio w każdym projekcie zidentyfikowano dwa do trzech wektorów ataków pozwalających na uzyskanie najwyższych przywilejów. Posiadając takie przywileje, atakujący mogą przejąć pełną kontrolę nad całą siecią, łącznie z systemami o krytycznym znaczeniu dla działalności.
Znana luka w zabezpieczeniach MS17-010, powszechnie wykorzystywana zarówno w indywidualnych atakach ukierunkowanych, jak i przez oprogramowanie ransomware, takie jak WannaCry oraz NotPetya/ExPetr, została wykryta w 75% firm, które zostały poddane wewnętrznym testom penetracyjnym po tym, jak informacje na temat tej luki zostały upublicznione. Niektóre z takich organizacji nie uaktualniły swoich systemów Windows nawet po upływie 7-8 miesięcy od publikacji łaty. Ogólnie przestarzałe oprogramowanie zostało zidentyfikowane w sieciach 86% analizowanych firm oraz w sieciach wewnętrznych 80% firm, co świadczy o tym, że niestety na skutek słabej implementacji podstawowych procesów bezpieczeństwa IT wiele przedsiębiorstw może stanowić łatwy cel dla osób atakujących.
Wyniki badania pokazują, że najsłabiej zabezpieczone są aplikacje internetowe agencji rządowych – każda z nich zawierała luki w zabezpieczeniach wysokiego ryzyka. Przed ewentualną ingerencją z zewnątrz lepiej zabezpieczone są aplikacje e-handlu. Tylko nieco ponad jedna czwarta posiada luki w zabezpieczeniach wysokiego ryzyka, przez co należy uznać je za najlepiej chronione.
Wdrożenie prostych środków bezpieczeństwa, takich jak filtrowanie ruchu sieciowego oraz polityka dotycząca haseł, mogłoby znacząco poprawić stan bezpieczeństwa. Na przykład połowie ataków można było zapobiec, ograniczając dostęp do interfejsów zarządzania – powiedział Siergiej Ochotin, starszy analityk bezpieczeństwa z działu Security Services, Kaspersky Lab.
W celu poprawy sytuacji bezpieczeństwa firmom zaleca się następujące działania:
· Zwracaj szczególną uwagę na zasady dotyczące bezpieczeństwa aplikacji internetowych, niezwłocznego aktualizowania oprogramowania zawierającego luki w zabezpieczeniach, ochrony za pomocą hasła oraz zapory sieciowej.
· Regularnie przeprowadzaj ocenę bezpieczeństwa infrastruktury IT (łącznie z aplikacjami).
· Dopilnuj, aby incydenty naruszenia bezpieczeństwa informacji były wykrywane możliwie najwcześniej. Niezwłoczne wykrycie działań cyberprzestępców we wczesnych etapach ataku oraz natychmiastowa reakcja mogą pomóc zapobiec powstaniu szkód lub je znacznie złagodzić. Dojrzałe organizacje, w których ustanowiono procesy oceny bezpieczeństwa, zarządzania lukami oraz wykrywania incydentów naruszenia bezpieczeństwa informacji, mogą rozważyć przeprowadzenie testów typu Red Teaming. Takie testy pomagają sprawdzić, jak dobrze infrastruktury są zabezpieczone przed atakującymi dysponującymi dużymi umiejętnościami, którzy działają w pełnym ukryciu. Pomagają również w szkoleniu działu bezpieczeństwa, umożliwiając identyfikowanie ataków i reagowanie na nie w rzeczywistych warunkach.
Pełny raport wykorzystany w niniejszej informacji prasowej jest dostępny na stronie https://r.kaspersky.pl/6BmxF.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.
Wasze komentarze (1):
-
~Jolanta, 2018-08-30 11:14:38
Warto zainwestować w system monitorujący stale infrastrukturę IT w firmie, polecam z doświadczenia mojej firmy next vision one, już wiele razy nas "uratował" , dla chętnych przesyłam stronkę nextvision1.pl. Ja z czystym sumieniem, mogę polecić!