Každá IT infraštruktúra je jedinečná a tie najnebezpečnejšie útoky podliehajú špeciálnemu plánovaniu, aby čo najviac využili zraniteľnosť konkrétnej organizácie. Oddelenie bezpečnostných služieb spoločnosti Kaspersky Lab realizuje každý rok praktické ukážky možných scenárov útokov, ktoré pomáhajú organizáciám na celom svete identifikovať zraniteľné miesta v ich sieťach a vyhnúť sa tak finančným, prevádzkovým a reputačným škodám. Cieľom výročnej správy o výsledkoch penetračných testov je informovať špecialistov v oblasti IT bezpečnosti o príslušných zraniteľných miestach a spôsoboch útokov zameraných na moderné firemné informačné systémy a tým posilniť ochranu organizácie.
Výsledky výskumu z roku 2017 ukazujú, že celková úroveň ochrany proti externým útočníkom bola hodnotená ako nízka alebo extrémne nízka v prípade 43 % analyzovaných spoločností. 73 % úspešných externých útokov zameraných na vstupné brány do firemných sietí organizácií bolo dosiahnutých vďaka zraniteľnosti webových aplikácií. Ďalším bežným spôsobom prieniku do firemnej siete z externého prostredia bol útok na verejne dostupné rozhrania manažmentu so slabými alebo predvolenými povereniami. V 29 % externého penetračného testovania experti Kaspersky Lab úspešne získali povolenie a prístup najvyššej úrovne v rámci celej IT infraštruktúry vrátane prístupu na úrovni administrátora k najdôležitejším obchodným systémom, serverom, sieťovým zariadeniam a pracovným staniciam zamestnancov, a to všetko v mene „útočníka“, ktorý nemá žiadne znalosti z interného prostredia cieľovej organizácie, len sa nachádza na internete.
Situácia so zabezpečením informácií v rámci vnútorných sietí spoločností bola ešte horšia. Úroveň ochrany proti interným útočníkom bola identifikovaná ako nízka alebo extrémne nízka v prípade 93 % všetkých analyzovaných spoločností. Povolenie a prístup najvyššej úrovne v rámci vnútorných sietí sa podarilo získať až v 86 % analyzovaných spoločností; v 42 % prípadov boli potrebné iba dva útoky na dosiahnutie tohto cieľa. V priemere boli identifikované dva až tri spôsoby útoku, pomocou ktorých bolo možné v každom projekte získať povolenie a prístup najvyššej úrovne. Len čo sa k nim útočníci dostanú, môžu získať úplnú kontrolu nad celou sieťou vrátane kritických systémov.
Notoricky známa zraniteľnosť MS17-01 sa často využíva pri individuálne cielených útokoch aj pri útokoch ransomvéru ako WannaCry a NotPetya/ExPetr. Táto zraniteľnosť bola identifikovaná v 75 % spoločností, ktoré sa podrobili internému penetračnému testovaniu po tom, čo o nej boli zverejnené informácie. Niektoré z týchto organizácií neaktualizovali svoje systémy Windows ani 7 – 8 mesiacov po vydaní záplat. Vo všeobecnosti je veľkým nedostatkom zastaraný softvér identifikovaný na vstupnej bráne do firemných sietí v 86 % analyzovaných spoločností a vo vnútorných sieťach 80 % spoločností, čo spôsobuje, že z dôvodu nedostatočnej implementácie vôbec základných bezpečnostných procesov sa mnohé podniky môžu stať ľahkými cieľmi útočníkov.
Výsledky projektov hodnotenia bezpečnosti ukázali, že webové aplikácie vládnych orgánov sú najohrozenejšie, pričom v 100 % ich aplikácií sa našli vysoko rizikové zraniteľné miesta. Naproti tomu ak sa pozrieme na aplikácie elektronického obchodu, tie sú pred možným narušením zvonka chránené lepšie. Iba niečo vyše štvrtiny obsahuje vysoko rizikové zraniteľné miesta, čo z nich robí najviac chránené aplikácie.
„Kvalitatívna implementácia jednoduchých bezpečnostných opatrení, ako je filtrovanie siete a ochrana heslom, by výrazne zvýšila úroveň zabezpečenia. Napríklad až polovici útokov by bolo možné predísť obmedzením prístupu do administrátorských rozhraní,“ povedal Sergey Okhotin, starší bezpečnostný analytik v Kaspersky Lab.
Na zlepšenie úrovne zabezpečenia sa spoločnostiam odporúča:
- venovať osobitnú pozornosť bezpečnosti webových aplikácií, včasným aktualizáciám zraniteľného softvéru, zabezpečeniu heslom a pravidlám firewallu,
- vykonávať pravidelné bezpečnostné kontroly IT infraštruktúry (vrátane aplikácií),
- zabezpečiť včasnú detekciu bezpečnostných incidentov. Odhalenie útoku v začiatočnej fáze a rýchla reakcia môžu pomôcť predchádzať škodám alebo ich podstatne zmierniť. Vyspelé organizácie, v ktorých sú zavedené postupy na hodnotenie bezpečnosti, správu zraniteľnosti a zisťovanie incidentov ohľadom bezpečnosti informácií, môžu zvážiť spustenie testov typu Red Teaming. Takéto testy pomáhajú určiť, do akej miery sú infraštruktúry chránené pred vyspelými technikami útočníkov, ako aj pomôcť kyberbezpečnostným pracovníkom identifikovať útoky a reagovať na ne v reálnych podmienkach.
Viac informácií o výsledkoch hodnotenia bezpečnostných služieb za rok 2017 nájdete v blogu na Securelist.