Слабые пароли и социальная инженерия: как хакеры взламывают компании
В уходящем 2022 году одной из острейших тем в России стала кибербезопасность. Атаки на госсектор и вузы увеличились кратно. Досталось и бизнесу, который в условиях регулярных «кибернабегов» был вынужден оперативно менять стратегию ИБ, в том числе все чаще прибегая к использованию такого инструмента, как пентест (тестирование на проникновение). Зачем компании проводят подобное тестирование и какие результаты в разрезе российских предприятий оно уже показало — в материале «Реального времени».
Тестирование на проникновение — это не средство защиты
Ключевые тенденции российского рынка информационной безопасности в текущем году свелись к росту спроса бизнеса на сервисы безопасности, пересмотру компаниями стратегии ИБ и форсированному переходу к реальной кибербезопасности. Согласно прогнозам аналитиков, все перечисленное будет актуально и в следующем году, поскольку рост числа утечек персональных данных увеличится, DDoS-атаки никуда не денутся, а вредоносное ПО продолжит пытаться нарушить инфраструктуру предприятий и получить доступ к данным.
Компании, учитывающие эти обстоятельства и задавшиеся целью защитить свой контур, начали все активнее обращаться к такому инструменту, как пентест. Тестирование на проникновение — это не средство защиты и не средство профилактики, а способ выявления слабых мест в системе информационной безопасности предприятия.
«В ходе проведения работ в 91% случаев для преодоления сетевого периметра и развития атаки в IT-инфраструктуру нами применяются уязвимости и эксплойты (готовые программы для применения уязвимостей), которые мы находим в открытом доступе сети Интернет. Также активно используются простейшие техники атак, например, bruteforce, забытые консоли администрирования, слабые, либо плохо настроенные конфигурации встроенных в ОС и ПО функций безопасности», ― подвел итоги тестирования Антон Кузьмин, руководитель Центра противодействия киберугрозам Innostage CyberART.
«Зачастую парольная политика в компаниях существует только на бумаге»
Наиболее проблемными местами в системах ИБ оказываются уязвимости веб-приложений и использование сотрудниками слабых паролей.
«Использование предсказуемых паролей пользователями не только дает возможность внешнему удаленному злоумышленнику преодолеть сетевой периметр организации, но и делает уязвимым внутреннюю IT-инфраструктуру. По нашему опыту парольная политика в компаниях существует только на бумаге. Дополнительные средства, которые могли бы контролировать ее исполнение, организации не применяют или применяют редко. Используемые стандартные средства контроля не могут обеспечить достойное соблюдение требований к длине или сложности пароля. В сервисах, не поддерживающих централизованное управление парольной политикой, контроль учетных данных либо обычно отсутствует, либо недостаточно контролируется», — пояснили в Innostage.
Помимо слабых паролей аналитики выявили и другие уязвимости, которые чаще всего приводят ко взломам: применение небезопасных протоколов (78%); небезопасная конфигурация учетных записей в AD (39%); небезопасная конфигурация хостов в домене (39%); отсутствие принудительной подписи протоколов (34%); небезопасное хранение паролей (30%); отсутствие разграничения доступа к информации, размещенной в общих сетевых папках (17%); небезопасная конфигурация AD CS (13%).
Кому нужен пентест
Тестирование позволяет увидеть слабые места в инфраструктуре или проверить настроенные контроли безопасности и улучшить их.
«Пентест необходим как один из основных способов верификации цифровой устойчивости организации. Если мы можем ее взломать в отведенные сроки, то говорить о том, что компания является устойчивой в цифровую эпоху, пока рано. Нужно еще работать над системой защиты», — отмечает Андрей Тимошенко, директор по стратегическому развитию бизнеса компании Innostage.
Как сообщили «Реальному времени» в Innostage, спрос на услугу по оценке защищенности в последнее время заметно вырос. График тестирования в компании расписан на месяцы вперед.