Слабые звенья все те же

Как подчеркнул руководитель направления внешних угроз JSOC Александр Ненахов, основным уязвимым местом в ИТ-инфраструктуре российских компаний являются веб-приложения. По данным исследования, в 81% их выявлялись ошибки в настройках. Серьезной проблемой остаются слабые пароли. Также, как показывают исследования, в 15% случаев пользователи совершают потенциально опасные действия при получении фишинговых писем. Но при этом 78% компаний все же устраняют выявленные прорехи в защите.

Тем не менее, многие показатели, характеризующие уровень защищенности, демонстрируют заметное ухудшение. Так, в более чем 92% компаний и учреждений не проводится плановое обновление ПО, тогда как годом раннее таких было 90%. В итоге устранение уязвимостей занимает в среднем 45 дней против 42 годом раннее. Но при этом атаки начинаются уже спустя 4 часа после того, как об уязвимости становится известно.

Растет и количество уязвимых хостов. По оценкам JSOC, которые озвучил Александр Ненахов, было обнаружено 9098 узлов, где не устранена уязвимость Heartbleed, закрытая еще 5 лет назад, и это число по сравнению с 2020 годом выросло более чем вдвое. Более 3500 промышленных систем имеют выход в публичных интернет против 3201 годом раннее.

В итоге порог входа на рынок киберпреступности заметно снизился. Этому способствуют расширение спектра готовых инструментов для взлома информационных систем, в том числе бесплатных, а также высокий уровень автоматизации деятельности "черных хакеров". При этом, как подчеркнул эксперт отдела расследования киберинцидентов JSOC Аскер Джамирзе, уровень специалистов по информационной безопасности также снизился, чему причиной глобальный дефицит подготовленных кадров. То, что многие компании и учреждения сохраняют удаленный режим работы сотрудников также создает серьезные проблемы для сотрудников служб информационной безопасности и облегчает работу злоумышленникам.

Как показывают результаты тестирований на проникновение извне, проведенных JSOC, главными прорехами в защите являются неправильные настройки прав доступа, раскрытие списков пользователей, использование учетных записей по умолчанию, открытый доступ к административным интерфейсам, а также возможность включения SQL-кода. Но больше всего проблем, как подчеркнул Александр Ненахов, выявляется при внутренних тестированиях на проникновение. Среди основных проблем, наряду с ошибками в парольных политиках, он отметил также возможность запуска сервисов с правами администраторов, отсутствие защиты от подбора пароля или возможность чтения памяти системного процесса lsass.exe.

По оценке Аскера Джамирзе, наиболее распространенными классами вредоносного ПО являются шифровальщики и IoT-ботнеты. Среди других зловредов он также отметил Glupteba, представляющий собой самый настоящий "комбайн", майнер Lemon Duck, который использует множество методов для своего распространения, а также Hafnium. Последний, нацеленный на сбор информации, активно использовался в ходе атаки на российские госучреждения (см. новость ComNews от 19 мая 2021 г.).

Как отметил Аскер Джамирзе, злоумышленники пользуются тем, что антивирусное ПО неправильно настроено (например, сканирует не все каталоги), вовремя не обновляется, или попросту отсутствует. Вредоносное ПО, применяемое киберармиями или киберпреступными группировками высокого класса изначально использует инструментарий, позволяющий обходить любые актуальные средства защиты в течение долгого времени.

Для минимизации ущерба Александр Ненахов рекомендует регулярное проведение пентестов, проведение анализа веб-приложений перед их публикацией, своевременно проводить обучение сотрудников нормам кибергигиены, и, наконец, проводить инвентаризации инфраструктуры и своевременно устанавливать патчи.