Знать врага: многие компании доступны для взлома даже неопытным хакерам
Организации часто недооценивают уровень опасности
Российские исследователи выявили, что многие организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. В 70% проектов по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектов были обнаружены проблемы, вызванные небезопасным кодом веб-приложений. Эксперты считают, что применение данных киберразведки для предотвращения угроз требует сегодня переосмысления концепций защиты организаций. Подробности — в материале «Известий».
Внутренний и внешний злоумышленник
Как показало тестирование Positive Technologies (есть у «Известий»), в 96% объектов и проектов организации оказались не защищены от проникновения злоумышленников в их внутренние сети. И лишь одна из них была в безопасности: исследователям удалось получить доступ только к демилитаризованной зоне.
Выяснилось, что в среднем для специалистов нужно 10 дней, чтобы добраться до внутренних сетей. Из организаций, в которых удалось провести тестирование на проникновение, 100% не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой.
В 63% компаний злоумышленник с низкой квалификацией сможет проникнуть в организации извне. Такую же долю составляют предприятия, в которых полный контроль над ИТ-инфраструктурой может получить низкоквалифицированный нарушитель «со стороны».
В 96% организаций удалось добраться до учетных данных сотрудников. В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации. В некоторых случаях эти сведения являлись интеллектуальной собственностью или служебной перепиской сотрудников.
— В каждом проекте удалось подтвердить возможность реализации как минимум одного недопустимого события, зачастую для этого не требовалось получение полного контроля над ИТ-инфраструктурой, — сказали «Известиям» в Positive Technologies. — Например, в организации, где специалисты не смогли получить доступ во внутренние сети, была верифицирована возможность доступа к базе данных с персональной информацией более 460 тыс. пользователей.
Опыт «Лаборатории Касперского» показывает, что чаще всего начальным вектором компрометации остаются использование уязвимостей в публично доступных приложениях и подбор слабых паролей. Эти методы не предполагают высокого уровня технической подготовки злоумышленников.
— К сожалению, несмотря на рекомендации компаний по информационной безопасности, люди склонны пренебрегать парольной политикой и откладывать обновления, — говорит главный эксперт «Лаборатории Касперского» Сергей Голованов. — Сегодня риск для компаний столкнуться с кибератаками очень велик. Наиболее актуальными остаются шифровальщики, вайперы, а также инциденты, которые привели к утечке данных. Атаки инсайдеров случаются, однако в общем объеме они очень редки.
Консультант по кибербезопасности компании F.A.C.C.T. Сергей Золотухин полагает, что многие организации не готовы к атакам, поскольку часто недооценивают уровень опасности. Муссирование тезиса о «низкоквалифицированном злоумышленнике» отводит фокус от реальной проблемы: атаки совершаются хорошо подготовленными и замотивированными профессионалами, уверен он.
— И эффективное противостояние возможно только тогда, когда мы знаем своего врага, трезво оцениваем его силы, понимаем техники и тактики, которые он может использовать, и заранее выстраиваем редуты для отражения атаки, — сказал Золотухин.
«Известия» направили запросы ФСТЭК России, Минцифры РФ и Роскомнадзору.
Вынужденная кибербезопасность
К столь высокому уровню уязвимости по результатам пентестов Positive Technologies привел целый ряд факторов, объясняет владелец продукта антивирус в компании PRO32 Андрей Голубев. Во-первых, руководство многих предприятий уделяет вопросам ИБ недостаточное внимание и рассматривает инвестиции в кибербезопасность как вынужденные траты, а не как стратегические вложения. Такой подход в корне неправильный и приводит к закупке и использованию устаревших или тупиковых решений, которые содержат известные уязвимости. Это позволяет взломать систему организации даже начинающему хакеру.
— Во-вторых, обучению сотрудников защите данных и развитию культуры кибербезопасности уделяется недостаточно внимания, — говорит собеседник. — Считается, что это какие-то избыточные меры предосторожности, как, допустим, инструктаж по пожарной безопасности. В результате многие рядовые пользователи компаний просто не знают элементарных вещей — как создать сложный для взлома пароль, где нельзя хранить отчеты и персональные данные пользователей и т.д.
Кроме того, например, отсутствие запретов на копирование файлов на внешние носители создает возможность для утечки персональных данных со стороны недобросовестных сотрудников, допускает Андрей Голубев.
— Для специалистов ИБ не секрет, что не существует абсолютно защищенных организаций, чья инфраструктура «неуязвима» для хакеров, поэтому и удивляться приведенной статистике не стоит, — комментирует заместитель директора департамента информационной безопасности Step Logic, представитель ассоциации АБИСС Денис Пащенко. — Нарушителям достаточно найти одну лазейку и использовать ее. Например, свежую уязвимость, для которой еще нет патча, а в инфраструктуре большой компании не успели согласовать и реализовать какие-то альтернативные меры для предотвращения ее эксплуатации.
Заместитель генерального директора Zecurion Александр Ковалев отмечает, что утечки данных могут быть как случайными, так и специальными. Нельзя сказать, что 100% внутренних угроз происходит по заранее отработанному сценарию, а каждый второй сотрудник хочет украсть чувствительную информацию.
— Часто случается, что люди случайно ошибаются в адресах электронной почты, без злого умысла забирают рабочую информацию на съемных носителях домой, теряют USB-носители в транспорте и т.д. Конечно, это небольшой процент, но все-таки он есть, — сказал Александр Ковалев.
Защищаются как могут
Цифровые системы первого поколения, которыми все сейчас пользуются, создавались в первую очередь для удешевления и ускорения транзакций, занятия рыночных ниш и экономии на офисах обслуживания, отмечает заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов.
— Безопасность в них являлась лишь тормозом, поэтому неудивительно, что ее приоритет был низким. Такой подход усугубился тем, что западные продукты, на которых были во многом построены российские цифровые системы, уже два года испытывают проблемы с обновлением, — поделился эксперт.
Основатель группы компаний «Анлим» Максим Овсянников отмечает, что у российских организаций сегодня бюджеты на внедрение систем информационной безопасности достаточно высокие. Другое дело, что квалификация специалистов не всегда позволяет корректно произвести перечень необходимых организационных мер. Обеспечить информационную безопасность малыми бюджетами — это мастерство, подчеркивает Овсянников.
— Среди наименее защищенных отраслей я бы выделил медицину и девелопмент, — говорит Максим Овсянников. — «Лечить» это нужно сверху вниз. Топ-менеджмент, независимо от того, коммерческой или государственной структурой он управляет, должен осознать ценность активов и масштаб последствий реализации тех или иных угроз.
Самое «интересное» внутри организации — это, конечно, бухгалтерия, разработки организации, доступ к компьютерам начальства, добавляет руководитель отдела анализа защищенности Angara Security Михаил Сухов.
— В реальных атаках злоумышленникам даже не надо получать доступ к ресурсам компании, а достаточно доступа к почтовому ящику «топов» организации или сотруднику финансового департамента, такие виды угроз называются BEC-атаками и являются одними из самых разрушительных с точки зрения финансовых потерь, — отмечает Сухов.
CEO Security Vision Руслан Рахметов сетует, что зачастую необходимый бюджет на кибербезопасность действительно выделяется только после масштабной кибератаки, приведшей к значительному ущербу, например к утечке данных или к простою бизнес-процессов. Зрелые и продвинутые компании не дожидаются подобных инцидентов и проводят тестирования на проникновение, анализ защищенности, проверки Red Team, запускают программу Bug Bounty — всё это позволяет оценить уровень реальной защищенности, улучшить финансирование ИБ-подразделений.
— Однако, помимо финансовых ограничений, существуют и кадровые вызовы — не секрет, что дефицит специалистов в отрасли ИБ стал уже хроническим, а шквал кибератак и экстренное импортозамещение в течение последних 2–3 лет лишь подстегнули спрос на кибербезопасников, — заключил Рахметов.