PHD: в две трети корпоративных сетей в России можно проникнуть извне
В ходе Positive Hack Days компания Positive Technologies представила результаты очередных исследований защищенности информационных систем отечественных предприятий.
В этом году в Positive ознакомили с результатами двух проектов.
В ходе первого была проанализирована защищенность 22 корпоративных сетей, в основном компаний финансовой отрасли и промышленных предприятий как наиболее лакомых целей для хакеров. Исследовалась устойчивость как к внешнему, так и к внутреннему проникновению.
«Извне» удалось проникнуть в 68% систем. Где-то подвели средства защиты периметра (самая старая найденная уязвимость справила 18-летие со дня первого обнаружения). Где-то сработала социальная инженерия — более четверти сотрудников, не задумываясь, переходят на фишинговые сайты и оставляют там свои учетные данные. Свою лепту внесли беспроводные сети, которые в 75% случаев дали возможность получить доступ к внутренним ресурсам. В некоторых организациях удалось задействовать несколько векторов атаки (максимальное число «дыр», обнаруженных на одном предприятии, — десять).
Внутреннему злоумышленнику удалось взять под контроль корпоративные системы в 100% случаев. Несмотря ни на какие используемые технические средства и организационные меры.
WannaCry без границ
Во втором исследовании 26 компаниям было предложено бесплатное тестирование корпоративного периметра на уязвимости с помощью MaxPatrol и дополнительного ПО. Основная цель тестирования — посмотреть, насколько сети этих компаний защищены от прогремевшего на весь мир WannaCry.
Первым открытием, сделанным в ходе исследования защищенности корпоративных периметров, стало то, что почти четверть компаний не смогли определить границы своей сети. Этот факт, как полагают в Positive, сам по себе свидетельствует о низкой защищенности.
Поэтому неудивительно, что уязвимостей найдено «множество», из них 15% имеют высокий уровень риска, для 6% существуют готовые и общедоступные эксплойты.
Больше всего уязвимостей выявлено в веб-приложениях, на втором месте — службы удаленного доступа, в них, вдобавок, самое большое число высокоуровневых уязвимостей.
Отдельную проблему представляют SSL-сертификаты. Почти у трети из них на момент исследования истекли сроки действия, в 16% использовались ненадежные криптографические алгоритмы, в 28% — «недостаточно надежные». Ненадежность сертификатов, особенно выдаваемых на длительный (более пяти лет) срок, дает злоумышленникам большие возможности — он может перехватить трафик и расшифровать данные; может, подменив сертификат, создать фишинговый сайт, чтобы похищать у посетителей учетные данные и заражать их компьютеры и т.д.
Ну а главный итог исследования — в восьми компаниях, то есть почти в каждой третьей, были обнаружены внешние узлы, которые до сих пор не защищены от WannaCry.
«По ком написан» 187-ФЗ
«До сих пор успешно удаются самые простые атаки», — заявил Борис Симис, заместитель генерального директора Positive Technologies, комментируя положение дел с информационной безопасностью в России (приведенная статистика по WannaCry тому подтверждение). По его словам, несмотря на все усилия «статистика не улучшается», девять из десяти крупных компаний уже подверглись взлому, а те, кто считает что у них не было инцидентов с безопасностью — просто не в курсе просходящего.
Дополнительную остроту проблемам безопасности придает вступивший в силу с 1 января 2018 года закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Посягающим на объекты критической информационной инфраструктуры грозят тюремные сроки до десяти лет и штрафы до миллиона рублей, предусмотрена аналогичная ответственость и для тех, кто не защитил вверенную им инфраструктуру.
В целом участниками пленарной дискуссии, руководителями подразделений информационной безопасности ряда крупных компаний закон оценивается скорее положительно. Однако он порождает и новые проблемы. Например, возможен ли аутсорсинг информационной безопасности критической инфраструктуры? Четкого ответа пока нет, но, как отметил Симис, «есть мнение, что нельзя».
Формально 187-ФЗ касается только владельцев критической информационной безопасности, однако дело в том, что на хорошо защищенные предприятия часто «заходят» через их партнеров небольшие компании, не уделяющие информационной безопасности достаточного внимания. Будут ли они, в случае инцидента, рассматриваться как пособники нарушителей, и в какой мере? Как сложится правоприменительная практика, покажет время.
Источник: Сomputerworld
Читайте также:
ПодписатьсяСистему Tax Free в России переведут на электронный документооборот
После внедрения специального программного обеспечения документооборот, осуществляемый между организациями, операторами и государственными службами в системе Tax Free, будет переведён с бумажного на электронный вид. Об этом сообщил статс-секретарь — заместитель министра промышленности и торговли России Виктор Евтухов.
IV Международная конференция «Актуальные вопросы развития наличного денежного обращения»
С 3 по 5 июля 2018 года в г. Ярославль состоится IV Международная конференция «Актуальные вопросы развития наличного денежного обращения». Организатор конференции - Ассоциация организаций в сфере наличного денежного обращения, инкассации и перевозки ценностей, при официальной поддержке Банка России. Организационная поддержка «Медиа Группа «Авангард».