Локальная сеть - легкая добыча
Компания Positive Technologies провела тестирование на уровень защищенности корпоративных информационных систем и подготовила обзор наиболее распространенных недостатков безопасности и методов атак. Эксперты пришли к выводу, что взломщику потребуется от получаса до 10 дней для проникновения в локальную сеть компании. Среди протестированных в 2019 г. компаний - организации финансового сектора (32%), ИT (21%), топливно-энергетический комплекс (21%), государственные учреждения (11%), сфера услуг (7%), промышленность (4%) и телекоммуникации (4%). В ходе внешних пентестов специалистам удалось получить доступ к локальной сети 93% организаций. Максимальное число векторов проникновения, выявленное в одном проекте, составило 13. В большинстве случаев атаку мог бы осуществить и низкоквалифицированный хакер, обладающий лишь базовыми навыками. Один простой способ проникновения, к примеру, существовал в 71% компаний.
В 68% компаний успешные атаки на веб-приложения проведены с помощью подбора учетных данных веб-приложений. В 86% компаний выявлены недостатки парольной политики критического и высокого уровней риска. В ходе тестирования широко эксплуатировались известные уязвимости ПО, которые позволили проникнуть в локальную сеть 39% компаний, например уязвимости в устаревших версиях Laravel и Oracle WebLogic Server. Кроме того, найдено шесть уязвимостей нулевого дня, которые позволяют удаленно выполнить произвольный код, в том числе CVE-2019-19781 в ПО Citrix Application Delivery Controller (ADC) и Citrix Gateway.
"Важно понимать, что, несмотря на динамику роста рынка по продаже доступов к скомпрометированным сетям, эта услуга остается достаточно редкой. Особенно это касается сегмента доступа в корпоративные сети", - считает руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков. "Наблюдая развитие андеграунда в течение более 10 лет, мы видим, что эта услуга по-прежнему доступна на ограниченном числе даркнет-ресурсов, в основном российских. У злоумышленников из России есть негласное правило не работать "по РУ", то есть по странам СНГ. Поскольку основная масса продавцов русскоязычны - доступы к российским компаниям продаются редко. А если и продаются, то их принадлежность к России не афишируется. Немало примеров, когда кто-то из новичков пытается продать доступы по РУ, после чего, как правило, получает "бан" - то есть блокировку на форуме и удаление всех постов на эту тему", - комментирует Дмитрий Шестаков.
"Уровень защищенности сетевого периметра мало изменился по сравнению с 2018 г.", - утверждает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. "Он в целом остается достаточно низким. Если в 2018 г. в ходе внешних пентестов - без использования методов социальной инженерии - удалось проникнуть в локальную сеть 92% компаний, то в 2019 г. этот показатель составил 93%", - сообщает она корреспонденту ComNews.
Директор центра мониторинга и реагирования на киберугрозы Solar JSOC "Ростелеком-Солар" Владимир Дрюков отмечает: "В 2019 г. специалисты Solar JSOC зафиксировали более 1,1 млн кибератак, что на 30% превышает показатели 2018 г.". Он утверждает, что в минувшем году значительно выросло количество сложных атак, с выявлением и предотвращением которых не справляются базовые средства защиты. Если в 2018 г. с помощью сложных интеллектуальных средств защиты было выявлено 28% инцидентов, то в 2019-м этот показатель вырос до 45%.
Стабильный рост в минувшем году, по его словам, показали также атаки, связанные с вирусным ПО (+11%), и атаки на веб-приложения (+13%). "В первом случае этому способствует развитие фишинга как основного способа доставки вредоносного софта, который при этом становится более сложным. Увеличение числа атак на веб-приложения связано с тем, что многие компании запускают собственные веб-ресурсы, не уделяя при этом достаточного внимания их защищенности. В итоге каждый третий сайт имеет критическую уязвимость, позволяющую получить привилегированный доступ к серверу - web-shell", - говорит Владимир Дрюков. Согласно их статистике, в 2019 г. для проникновения в инфраструктуру компаний киберпреступники в 70% случаев использовали вредоносное ПО, доставляемое через фишинговые письма. На втором месте по популярности были атаки на веб-приложения (их доля составила 25%).
"Рост атак значительно увеличивается, об этом свидетельствует последняя громкая утечка данных более 129 млн автовладельцев, причем государственный сектор второй год в топе хакерских атак - в последнее время APT-группировки в основном специализируются на промышленном шпионаже и слежке за высокопоставленными лицам государственных учреждений", - говорит ведущий менеджер по продвижению компании Cross Technologies Ильяс Киреев. По его мнению, особенно заметно злоумышленники стали использовать тему вирусной пандемии COVID-19. Данная тематика применяется в рамках массовых и целевых фишинговых атак, с применением техник социальной инженерии. Как показывает статистика последних двух лет компании Cross Technologies, злоумышленники действуют через атаку на цепочку поставок, то есть компрометируется доверенный контрагент. "К примеру, осуществляющий государственную услугу в рамках межведомственного взаимодействия, и по результатам через него по доверенным каналам связи взламывается целевая инфраструктура", - объясняет Ильяс Киреев. Для противостояния данным угрозам он советует осуществлять постоянный мониторинг инфраструктуры и выявить всплеск нагрузки на каналы связи. "Такой процесс мониторинга может обеспечить компания c выстроенными процессами и круглосуточной работой центров мониторинга кибербезопасности - Security Operation Center, к примеру корпоративные и ведомственные центры ГосСОПКА при взаимодействии с главным центром ГосСОПКА", - считает Ильяс Киреев.
Более подробную статистику по росту хакерских активностей с 2017 г. по 2019 г. приводит руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков. "Активный рост продаж доступов к корпоративным сетям начался с 2017 г. и с небольшими перебоями, связанными с временной приостановкой активности отдельных продавцов, вышел на пик в 2018 г. В частности, только один из наиболее известных злоумышленников, торгующих такими услугами, в период с октября 2017 г. по сентябрь 2019 г. выставил на продажу доступ к сетям 135 компаний из более чем 40 стран мира", - рассказывает он.
"В первой половине 2019 г. активность в даркнете по продажам вернулась примерно на уровень 2017 г. А со второй половины 2019 г. по настоящее время снова начался рост: это связано прежде всего с появлением новых игроков на рынке продажи доступов, которые сейчас ведут активную деятельность в андеграунде. Так, во второй половине 2019 г. продавцов стало на 58% больше, чем в первой. Для сравнения, это на 92% выше, чем во второй половине 2017 г., и на 61% - чем в этом же периоде 2018 г.", - говорит Дмитрий Шестаков. По его словам, дополнительным фактором роста спроса на доступы, а следовательно на и увеличение предложения на рынке, стало появление большого количества новых партнерских программ по криптолокерам.
Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев убежден, что рост успешных проникновений в локальные сети организаций заметен и в 2020 г. "По нашим данным, в первые месяцы 2020 г. число результативных хакерских атак в мире выросло более чем на 10% по сравнению с началом 2019 г. Наиболее активно киберпреступники атакуют различные платформы и веб-сервисы с обширными клиентскими базами. В частности, наблюдается рост атак с использованием вирусов-вымогателей, когда данные компании-жертвы блокируются и шифруются с целью получения выкупа. Вероятно, в ближайшие месяцы эти тенденции сохранятся", - считает Андрей Арсентьев. Он полагает, что по мере выхода из пандемии и оживления экономики также можно ожидать большего внимания хакеров к различным ноу-хау и коммерческим секретам. По мнению Андрея Арсентьева, основная угроза здесь исходит от политически мотивированных группировок.
"Безусловно, массовый переход на удаленную работу - один из главных факторов роста как внешних, так и внутренних угроз. Отныне многим компаниям придется учитывать его при создании моделей угроз и формировании систем защиты. Потому что даже после завершения пандемии многие организации оставят часть сотрудников на удаленке", - комментирует ситуацию Андрей Арсентьев со ссылкой на данные опроса Ancor, согласно которым каждая четвертая компания оставит на удаленке как минимум 20% персонала.
Данную точку зрения поддерживает и директор центра мониторинга и реагирования на киберугрозы Solar JSOC "Ростелеком-Солар" Владимир Дрюков. Он говорит: "За первые месяцы 2020 г. мы увидели определенный рост числа кибератак по сравнению с аналогичным периодом прошлого года. Их профиль при этом изменился, что связано с массовым переходом на удаленный режим работы и потенциально незащищенными рабочими местами пользователей, в том числе зачастую с применением личных устройств и упрощенных схем организации удаленной работы".
Тот факт, что с переходом на удаленку растет риск проникновений в локальные сети организаций, подтверждает и эксперт Лаборатории практического анализа защищенности компании "Инфосистемы Джет" Екатерина Рудая. Среди причин она выделяет отсутствие опыта компаний в предоставлении доступа сотрудникам во внутреннюю инфраструктуру извне. "Не все компании успевают предоставлять сотрудникам безопасный удаленный доступ по сертификатам или двухфакторной аутентификации. Многие вынуждены публиковать ресурсы в интернете, что несет дополнительные риски компрометации информации. Соответственно, злоумышленники получают доступ к большему количеству ресурсов, которые можно взломать", - считает Екатерина Рудая.
С ней согласен и руководитель группы исследования киберпреступности Group-IB Дмитрий Шестаков. Он поясняет: "Перевод сотрудников на удаленный режим работы - это дополнительные риски для кибербезопасности компаний. Прежде всего потому, что организовать грамотную защиту территориально распределенной инфраструктуры и предпринять те же организационно-технические меры информационной безопасности, которые действовали в офисе, способны не все: не у каждого бизнеса есть такой опыт. Зачастую удаленка организуется "на скорую руку", и это значительно упрощает задачу злоумышленников, желающих подзаработать на продаже доступов".
"Организация удаленного доступа в компании повышает риски, связанные со взломом. Это может быть обусловлено низким контролем доступа к чувствительной информации и отсутствием мониторинга сессий удаленных пользователей. Следует уделять особое внимание разграничению доступа к данным на прикладном и сетевом уровнях, регулярному процессу анализа защищенности и патч-менеджменту инфраструктуры, контролю и анализу конфигураций, поведенческому анализу сессий удаленных пользователей и мониторингу инфраструктуры в целом", - рекомендует ведущий менеджер по продвижению компании Cross Technologies Ильяс Киреев.
Размышляя о прогнозах на 2020 г., Ильяс Киреев утверждает, что до конца года злоумышленники будут использовать тему COVID-19 как в рамках фишинговых рассылок, так и при подготовке тематических сайтов с целью реализации атаки watering hole, при обращении на которые через скрипты на компьютер жертвы будет загружаться и исполняться полезная нагрузка вредоносного программного обеспечения.
Информационную группу ComNews, также заботят вопросы кибербезопасности, поэтому 23 июня мы проводим очередной онлайн-форум: "Безопасность удаленной работы: соблюдай дистанцию - оставайся под защитой". В рамках онлайн-форума, совместно с участниками рынка информационной безопасности, мы попробуем разобраться, как же можно сделать удаленную работу безопасной, разберем ключевые угрозы удаленного доступа, обсудим вынужденные изменения в политике безопасности и является ли дистанционная работа временной мерой сохранения бизнеса или будущее за онлайн?
Подробнее на официальном сайте проекта:
