"Дочка" "Сбера" предупредила об угрозе взлома компьютеров у 70% компаний

О том, что кибермошенники могут получить права доменного администратора у 70% российских фирм, указано в поступившем в РБК исследовании BI.ZONE ("дочка" "Сбера", которая разрабатывает продукты в области кибербезопасности, расследует киберпреступления и анализирует защищенность ИТ-инфраструктур). В рамках анализа ее эксперты проверили более 200 средних и крупных компаний из разных отраслей.

Права администратора домена дают возможность подключиться к любому компьютеру компании, установить софт, ограничить доступ, завести учетную запись или вовсе закрыть ее сайт, пояснил директор блока экспертных сервисов BI.ZONE Евгений Волошин.

Как злоумышленники получают права

Волошин пояснил, что, чтобы получить доступ к правам доменного администратора, мошенник должен взломать учетную запись рядового сотрудника компании, использовав методы социальной инженерии. Жертва получает вредоносный файл или ссылку на него. Если она скачивает файл, злоумышленник получает доступ к ее устройству и начинает изучать внутреннюю инфраструктуру предприятия. Используя различные техники перехвата трафика, а также анализируя учетные записи, хранимые на взломанных машинах, преступник постепенно захватывает новые учетные записи и расширяет свои права. Так он может добраться до компьютера, где хранится учетная запись доменного администратора. По словам эксперта, службы кибербезопасности многих организаций ранее не знали о существовании подобных уязвимостей, что создавало дополнительные риски.

"Главные причины успеха таких атак — недостаточный мониторинг ресурсов, расположенных на внешнем ИТ-периметре, и отсутствие налаженных процессов по поиску уязвимостей в ИТ-инфраструктуре", — отметил Волошин.

Служба доменных имен, как правило, остается вне фокуса административных процессов многих структур, даже достаточно крупных, что приводит к возникновению серьезных угроз информационной безопасности, считает основатель и гендиректор Qrator Labs Александр Лямин. Поэтому более чем в 50% случаев злоумышленники могут получить права доменного администратора, используя уязвимости в системе. "Многие компании изначально не встраивают управление службами доменных имен в свои процессы безопасности, чем успешно пользуются хакеры. Получить права администратора домена злоумышленники могут в случае утечек авторизационных данных, отсутствия в системе двухфакторной авторизации, социального инжиниринга. Это грозит как прямыми рисками информационной безопасности, то есть потерей контроля над публичными ресурсами, так и взломом и репутационным ущербом", — предупредил Лямин. Он указал, что в случае взлома хакеры могут разместить на домене компании абсолютно любые данные, например противоправную информацию на сайте СМИ.

Директор по технологиям Infosecurity a Softline Company Никита Пинчук считает статистику BI.ZONE объективной. По его мнению, ошибки компаний начинаются с создания простых паролей на сервисах и отсутствия контроля за обновлениями систем и заканчиваются небезопасной настройкой служб Active Directory (решение, позволяющее объединить различные объекты сети: компьютеры, серверы, принтеры). Но главная проблема — недостаточное финансирование информационной безопасности и слабая подготовка кадров.

Чтобы повысить уровень защищенности, предприятию нужно провести аудит инфраструктуры, внедрить и настроить защитные системы, реализовать процедуры патч-менеджмента (обеспечивает безопасность операционных систем, устраняет уязвимости, исправляет программные ошибки и предотвращает атаки вредоносных программ), отметил Пинчук. Также придется провести обучение персонала, обеспечивающего безопасность, и всех сотрудников по вопросам информбезопасности, так как человек "все равно остается самым слабым звеном в защите".

Лямин также посоветовал выбирать надежного поставщика, обеспечивающего регистрацию и управление зонами доменов, основываясь на анализе репутации компании-регистратора, ее технических особенностях и преимуществах, а также обязательно использовать двухфакторную авторизацию и иметь несколько сотрудников с доступом к сервисам третьих компаний на случай возникновения непредвиденных ситуаций.