Analiza testów penetracyjnych przeprowadzonych przez badaczy z Kaspersky Lab w sieciach korporacyjnych w 2017 r. wykazała, że trzy czwarte (73 proc.) skutecznych włamań powiodło się dzięki wykorzystaniu aplikacji internetowych zawierających luki w zabezpieczeniach. Wyniki zostały podsumowane w nowym raporcie „Ocena bezpieczeństwa korporacyjnych systemów informacyjnych w 2017 r.”.
Każda infrastruktura IT jest unikatowa, a najbardziej niebezpieczne ataki są planowane z uwzględnieniem luk w zabezpieczeniach określonej organizacji. Każdego roku dział Security Services firmy Kaspersky Lab przeprowadza praktyczny pokaz potencjalnych scenariuszy ataków, aby pomóc organizacjom na całym świecie zidentyfikować luki w zabezpieczeniach swoich sieci oraz uniknąć szkód finansowych, operacyjnych i wizerunkowych. Celem corocznego raportu z testów penetracyjnych jest zwrócenie uwagi specjalistów ds. bezpieczeństwa IT na istotne luki w zabezpieczeniach oraz wektory ataków na współczesne korporacyjne systemy informacyjne, a tym samym wzmocnienie ochrony organizacji.
Wyniki badania przeprowadzonego w 2017 r. pokazują, że ogólny poziom ochrony przed intruzami z zewnątrz był oceniany nisko lub bardzo nisko w przypadku 43 proc. analizowanych firm. 73 proc. skutecznych ataków zewnętrznych na sieci organizacji w 2017 r. było możliwe dzięki wykorzystaniu luk w aplikacjach internetowych. Innym powszechnym wektorem penetracji sieci był atak na publicznie dostępne interfejsy zarządzania posiadające słabe lub domyślne dane uwierzytelniające. W przypadku 29 proc. zdalnych testów penetracyjnych eksperci z Kaspersky Lab zdołali uzyskać najwyższe przywileje w całej infrastrukturze IT, w tym dostęp na poziomie administratora do najważniejszych systemów biznesowych, serwerów, sprzętu sieciowego oraz stacji roboczych pracowników w imieniu „osoby atakującej”, która nie posiadała żadnej wiedzy wewnętrznej na temat atakowanej organizacji.
Jeszcze gorzej przedstawiała się sytuacja bezpieczeństwa informacyjnego w sieciach wewnętrznych firm. Poziom ochrony przed atakującymi z wewnątrz został określony jako niski lub bardzo niski w przypadku 93 proc. analizowanych firm. Najwyższe przywileje w sieci wewnętrznej zostały uzyskane w 86 proc. analizowanych firm; w przypadku 42 proc. z nich cel ten osiągnięto w zaledwie dwóch krokach podjętych w ramach ataku. Średnio w każdym projekcie zidentyfikowano dwa do trzech wektorów ataków pozwalających na uzyskanie najwyższych przywilejów. Posiadając takie przywileje, atakujący mogą przejąć pełną kontrolę nad całą siecią, łącznie z systemami o krytycznym znaczeniu dla działalności.
Znana luka w zabezpieczeniach MS17-010, powszechnie wykorzystywana zarówno w indywidualnych atakach ukierunkowanych, jak i przez oprogramowanie ransomware, takie jak WannaCry oraz NotPetya/ExPetr, została wykryta w 75 proc. firm, które zostały poddane wewnętrznym testom penetracyjnym po tym, jak informacje na temat tej luki zostały upublicznione. Niektóre z takich organizacji nie uaktualniły swoich systemów Windows nawet po upływie 7-8 miesięcy od publikacji łaty. Ogólnie przestarzałe oprogramowanie zostało zidentyfikowane w sieciach 86 proc. analizowanych firm oraz w sieciach wewnętrznych 80 proc. firm, co świadczy o tym, że niestety na skutek słabej implementacji podstawowych procesów bezpieczeństwa IT wiele przedsiębiorstw może stanowić łatwy cel dla osób atakujących.
Wyniki badania pokazują, że najsłabiej zabezpieczone są aplikacje internetowe agencji rządowych – każda z nich zawierała luki w zabezpieczeniach wysokiego ryzyka. Przed ewentualną ingerencją z zewnątrz lepiej zabezpieczone są aplikacje e-handlu. Tylko nieco ponad jedna czwarta posiada luki w zabezpieczeniach wysokiego ryzyka, przez co należy uznać je za najlepiej chronione.