По данным компании Positive Technologies (сфера деятельности — программное обеспечение информационной безопасности), в России не менее чем каждая пятая IT-система уязвима и причина этого — устаревший софт.
С проблемами из-за критически важных уязвимостей могут столкнуться промышленные предприятия, государственные структуры, банки и телекоммуникационные операторы. Для того чтобы закрыть такие уязвимости, достаточно установить программные обновления, многие из которых выпущены много лет назад. Как показало исследование, получить контроль над критически важными ресурсами компаний может злоумышленник, обладающий минимальным уровнем знаний.
IT-системы крупных российских структур в 40% случаев имеют критически опасные уязвимости (информация отчёта Positive Technologies за 2016 год). 27% систем обладают критически опасными уязвимостями, связанными с ошибками в коде веб-приложений, 20% — уязвимостями из-за неустановки обновлений софта.
Информация о самой старой из обнаруженных уязвимостей опубликована более 17 лет назад. Тогда же был выпущен закрывающий её патч.
«Уязвимость связана с тем, что DNS-сервер поддерживает рекурсию запросов. В результате эксплуатации данной уязвимости злоумышленник может проводить атаки на отказ в обслуживании»,— говорится в отчёте.
Средний возраст наиболее устаревших неустановленных обновлений в системах, где такие уязвимости были обнаружены, составляет девять лет.
В ходе проверок состояния информационной безопасности российских компаний, проведённых Positive Technologies в 2016 году, оказалось, что получить доступ к ресурсам в локальной сети можно в 55% случаев. Для этого в среднем достаточно найти только две уязвимости в используемом ПО.
По данным специалистов Positive Technologies, только пятая часть реальных случаев взлома связана с использованием ранее не известных уязвимостей (0-days), для закрытия которых ещё нет патчей. Таким образом, взломщик может обладать не слишком высокой технической квалификацией, работать «по шаблону» и всё равно достигать намеченных целей.
«В 77% работ сетевой периметр удалось преодолеть из-за уязвимостей веб-приложений, а в 23% — из-за уязвимостей, связанных с использованием словарных паролей»,— рассказывают аналитики. В результате более чем в половине случаев удалось получить полный контроль над критически важными ресурсами компаний, такими как система Active Directory, СУБД, ERP-система и др.
«Важно понимать, что используемые для атак недостатки защиты могут присутствовать в системе любой организации, — комментирует Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. — При этом большинство атак вполне предсказуемы: каждый из описанных сценариев основан на эксплуатации наиболее распространённых уязвимостей, которые могут быть устранены с минимальными финансовыми вложениями, зачастую просто путём изменения конфигурации системы».
Компания Positive Technologies также сообщает о том, что корпоративные Wi-Fi сети оказались уязвимы для атак хакеров в 100% случаев.
Решить эту проблему можно только с помощью комплексного подхода к обеспечению безопасности корпоративной инфраструктуры.
В 2016 году объекты критической инфраструктуры (IT-системы банков, телеком-операторов и промышленных предприятий) подверглись кибератакам 70 млн раз. Объём средств, похищенных только из российских банков (по данным Group-IB) составил за тот же период 5,53 млрд руб. В базе данных угроз безопасности информации, которую с марта 2015 года ведёт Федеральная служба по техническому и экспортному контролю, имеется информация о 16,5 тыс. уязвимостей в ПО, используемом при создании государственных IT-систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Почему же не устанавливаются критически необходимые обновления? По словам Владимира Ульянова, руководителя аналитического центра Zecurion (Zecurion — российская компания, занимающаяся разработкой DLP-систем для защиты от утечек информации, консалтингом и проведением исследований в области информационной безопасности), причин несколько.
«В некоторых компаниях боятся, что после обновления какой-то компонент откажется работать или начнёт работать неправильно. Принцип «работает — не трожь» до сих пор одна из главных догм системных администраторов», — говорит Ульянов. Он также замечает, что большое количество оборудования, разнообразие используемых систем, территориально удалённые филиалы и наличие устаревших систем также приводит к тому, что какие-то компоненты не обслуживаются IT-специалистами должным образом.
Так что же необходимо делать, чтобы защитить корпоративную информационную сеть (КИС)? Вот рекомендация-памятка от Positive Technologies:
- Использовать строгую парольную политику,
- защищать привилегированные учётные записи,
- повышать осведомлённость сотрудников в вопросах информационной безопасности,
- не хранить чувствительную информацию в открытом виде,
- ограничить число интерфейсов сетевых служб, доступных на периметре,
- защищать либо отключать неиспользуемые протоколы канального или сетевого уровня,
- разделять сеть на сегменты, минимизировать привилегии пользователей и служб, регулярно обновлять ПО и устанавливать обновления безопасности ОС,
- регулярно проводить тестирование на проникновение КИС и анализ защищённости веб-приложений на периметре.
При этом важно обеспечить все эти меры в комплексе, только тогда защита будет эффективной, а затраты на дорогостоящие средства безопасности будут оправданы.