14:57 10.06.2018   |   3413 |  Дмитрий Гапотченко |  Computerworld Россия

Рубрика Предприятие



На ходе Positive Hack Days компания Positive Technologies представила результаты очередного исследования защищенности информационных систем отечественных предприятий.

Компания Positive Technologies в восьмой раз провела Positive Hack Days; мероприятие посетило более 5 тыс. человек. По традиции участники форума соревновались в умении защищать и взламывать разнообразные объекты — от банкоматов до городской инфраструктуры.

Также форум снова стал местом для дискуссий и обнародования результатов исследований, проведенных Positive в 2017 году. На прошлом PHD компания представила исследование, свидетельствующее о том, сколь незащищен и легкодоступен для злоумышленников Интернет вещей (см. «Темная сторона Интернета вещей», Computerworld Россия, 5 июня 2017). В этом году в Positive ознакомили с результатами двух проектов.

В ходе первого была проанализирована защищенность 22 корпоративных сетей, в основном компаний финансовой отрасли и промышленных предприятий как наиболее лакомых целей для хакеров. Исследовалась устойчивость как к внешнему, так и к внутреннему проникновению.

«Извне» удалось проникнуть в 68% систем. Где-то подвели средства защиты периметра (самая старая найденная уязвимость справила 18-летие со дня первого обнаружения). Где-то сработала социальная инженерия — более четверти сотрудников, не задумываясь, переходят на фишинговые сайты и оставляют там свои учетные данные. Свою лепту внесли беспроводные сети, которые в 75% случаев дали возможность получить доступ к внутренним ресурсам. В некоторых организациях удалось задействовать несколько векторов атаки (максимальное число «дыр», обнаруженных на одном предприятии, — десять).

Внутреннему злоумышленнику удалось взять под контроль корпоративные системы в 100% случаев. Несмотря ни на какие используемые технические средства и организационные меры.

WannaCry без границ

Во втором исследовании 26 компаниям было предложено бесплатное тестирование корпоративного периметра на уязвимости с помощью MaxPatrol и дополнительного ПО. Основная цель тестирования — посмотреть, насколько сети этих компаний защищены от прогремевшего на весь мир WannaCry.

Первым открытием, сделанным в ходе исследования защищенности корпоративных периметров, стало то, что почти четверть компаний не смогли определить границы своей сети. Этот факт, как полагают в Positive, сам по себе свидетельствует о низкой защищенности.

Поэтому неудивительно, что уязвимостей найдено «множество», из них 15% имеют высокий уровень риска, для 6% существуют готовые и общедоступные эксплойты.

Больше всего уязвимостей выявлено в веб-приложениях, на втором месте — службы удаленного доступа, в них, вдобавок, самое большое число высокоуровневых уязвимостей.

Отдельную проблему представляют SSL-сертификаты. Почти у трети из них на момент исследования истекли сроки действия, в 16% использовались ненадежные криптографические алгоритмы, в 28% — «недостаточно надежные». Ненадежность сертификатов, особенно выдаваемых на длительный (более пяти лет) срок, дает злоумышленникам большие возможности — он может перехватить трафик и расшифровать данные; может, подменив сертификат, создать фишинговый сайт, чтобы похищать у посетителей учетные данные и заражать их компьютеры и т.д.

Ну а главный итог исследования — в восьми компаниях, то есть почти в каждой третьей, были обнаружены внешние узлы, которые до сих пор не защищены от WannaCry.

«По ком написан» 187-ФЗ

«До сих пор успешно удаются самые простые атаки», — заявил Борис Симис, заместитель генерального директора Positive Technologies, комментируя положение дел с информационной безопасностью в России (приведенная статистика по WannaCry тому подтверждение). По его словам, несмотря на все усилия «статистика не улучшается», девять из десяти крупных компаний уже подверглись взлому, а те, кто считает что у них не было инцидентов с безопасностью — просто не в курсе просходящего.

Дополнительную остроту проблемам безопасности придает вступивший в силу с 1 января 2018 года закон 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Посягающим на объекты критической информационной инфраструктуры грозят тюремные сроки до десяти лет и штрафы до миллиона рублей, предусмотрена аналогичная ответственость и для тех, кто не защитил вверенную им инфраструктуру.

В целом участниками пленарной дискуссии, руководителями подразделений информационной безопасности ряда крупных компаний закон оценивается скорее положительно. Однако он порождает и новые проблемы. Например, возможен ли аутсорсинг информационной безопасности критической инфраструктуры? Четкого ответа пока нет, но, как отметил Симис, «есть мнение, что нельзя».

Формально 187-ФЗ касается только владельцев критической информационной безопасности, однако дело в том, что на хорошо защищенные предприятия часто «заходят» через их партнеров небольшие компании, не уделяющие информационной безопасности достаточного внимания. Будут ли они, в случае инцидента, рассматриваться как пособники нарушителей, и в какой мере? Как сложится правоприменительная практика, покажет время.


Теги: Positive Technologies Кибербезопасность Positive Hack Days
На ту же тему: