Специалисты Positive Technologies
состояние защищенности российских компаний.
В ходе пентестов, проведенных в 2021-2022 годах, выяснилось, что 96% организаций не защищены от проникновения в локальную сеть: во всех был получен полный контроль над инфраструктурой. На получение доступа во внутреннюю сеть компании в среднем требовалось пять дней и четыре часа.
Распределение протестированных организаций по отраслям
Отчет компании гласит, что уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким. Так, в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.
Вот некоторые интересные цифры и выводы из отчета экспертов:
Успешные атаки при проведении внешних пентестов
Среди всех векторов проникновения, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей.
Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО, а в половине исследованных компаний были обнаружены критически опасные уязвимости в коде веб-приложений.
При проведении внешнего пентеста выяснилось, что потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации в 9 из 10 компаний. Например, к сведениям, составляющим коммерческую тайну.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена, а получить доступ к конфиденциальной информации оказалось возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний.
Уровень защищенности протестированных организаций
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров, хищение денежных средств, остановка ключевых бизнес-процессов.
В ходе пентестов, проведенных в 2021-2022 годах, выяснилось, что 96% организаций не защищены от проникновения в локальную сеть: во всех был получен полный контроль над инфраструктурой. На получение доступа во внутреннюю сеть компании в среднем требовалось пять дней и четыре часа.
Распределение протестированных организаций по отраслям
Отчет компании гласит, что уровень защищенности от внешнего и внутреннего нарушителя в проанализированных компаниях оказался преимущественно низким. Так, в организациях было обнаружено множество подтвержденных векторов атак, направленных на доступ к критически важным ресурсам, при этом потенциальному нарушителю для использования этих векторов не нужно обладать высокой квалификацией.
Вот некоторые интересные цифры и выводы из отчета экспертов:
- в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть;
- в 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов, а в среднем для этого требовалось четыре шага;
- самая быстрая атака была проведена пентестерами всего за час;
- в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
Успешные атаки при проведении внешних пентестов
Среди всех векторов проникновения, в которых использовались уязвимости веб-приложений, 14% включали эксплуатацию уязвимостей нулевого дня. Всего при проведении внешнего пентеста было выявлено пять таких уязвимостей.
Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО, а в половине исследованных компаний были обнаружены критически опасные уязвимости в коде веб-приложений.
При проведении внешнего пентеста выяснилось, что потенциальные злоумышленники могли бы получить несанкционированный доступ к конфиденциальной информации в 9 из 10 компаний. Например, к сведениям, составляющим коммерческую тайну.
При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена, а получить доступ к конфиденциальной информации оказалось возможно в 68% компаний. В качестве конфиденциальной информации выступали, к примеру, персональные данные клиентов, базы данных компаний.
Уровень защищенности протестированных организаций
В 47% исследованных компаний были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Чаще всего в списке недопустимых событий фигурировали кража критически важной информации, доступ к учетным записям топ-менеджеров, хищение денежных средств, остановка ключевых бизнес-процессов.
