Партнер группы компаний Angara Positive Technologies опубликовала аналитику результатов работы системы внешнего заказного анализа защищенности.
Эксперты поделились следующими выводами (речь идет о технических атаках, атаки с использованием социальной инженерии здесь не использовались):
- В большинстве компаний (93%) удалось преодолеть внешний периметр, причем в 71% случаев для этого не требовались сложные инструменты или знания.
- В среднем на успешную атаку требовалось 4 дня. Минимум – 30 минут, максимум – 10 дней.
- 77% успешных взломов происходили через web-приложение. Из них (возможна комбинация условий):
o 50% – эксплуатация уязвимости в коде web-приложения,
o 36% – эксплуатация уязвимости ПО известной ранее,
o 29% – использование недостатков конфигурации,
o 14% – эксплуатация уязвимости ПО неизвестной ранее.
- Остальные атаки связаны с подбором учетных данных:
o 6% – к службам удаленного доступа,
o 1% – к серверу FTP,
o 1% – доменные учетные данные и использование эксплоит.
- У большого количества компаний были выявлены следы предыдущих атак злоумышленников – WEB-Shell (Remote Code Execution) бэкдор на видимых из сети Интернет ресурсах, вредоносные ссылки внутри официальных сайтов, наличие утечек, валидных баз учетных данных.
- Только в 7% компаний экспертам не удалось преодолеть периметр.
Парольная политика и ее выполнение остаются большой брешью безопасности: простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре. Они обнаруживаются в web-приложениях, доменных учетных данных, СУБД, ОС, на сетевом оборудовании, FTP-серверах. Слабые пароли включают использование соседних клавиш, словарных и коротких паролей, паролей формата [МесяцГод] в латинской раскладке, пароли по-умолчанию.
А также одной из частых проблем является использование устаревших версий ПО, и в связи с этим наличие на них старых известных уязвимостей (например OpenSSH, в .NET Framework, в Oracle WebLogic Server).
Рекомендации
Качественно организовать периметр предприятия можно комплексным подходом к информационной безопасности. Основное внимание необходимо уделить следующим вопросам:
- Использование NGFW уровня приложения (L7) с функциями IPS на периметре. Аудит сетевых политик и ресурсов, доступ к которым действительно необходим из внешней сети, остальные ресурсы необходимо закрыть.
- Использование средств анализа исходного кода для публичных web-ресурсов.
- Обратить пристальное внимание на защиту публичных web-ресурсов средствами WAF и продуманной сегментацией (использование DMZ и других выделенных сегментов со строгой политикой доступа из них во внутренние сегменты).
- Отключать лишние сервисы, удалять на публичных ресурсах лишние пакеты (например FTP), контроль настроек (например запретить root для SSH подключений, использовать sudo, отключение по возможности сервиса Autodiscovery в ПО Microsoft Exchange Client Access Server). Для проверки ресурс рекомендуется регулярно сканировать средствами комплексного анализа защищенности. Группа компаний Angara рекомендует использовать решения:
b. Tenable (Nessus) Vulneradility Assessment.
c. Qualys.
5. Интеграция с SOC всех внешних систем, использование TI сервисов – для своевременного обнаружения следов компрометации и присутствия злоумышленника в сети.
