eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Infrastruktura IT cierpi przez luki w aplikacjach

Infrastruktura IT cierpi przez luki w aplikacjach

2018-08-22 00:35

Infrastruktura IT cierpi przez luki w aplikacjach

Biuro © fot. mat. prasowe

Nie ma złudzeń. Za większość skutecznych ataków na sieci korporacyjne odpowiadają luki w aplikacjach internetowych. Przeprowadzona przez Kaspersky Lab analiza testów penetracyjnych dowiodła, że w 2017 roku umożliwiły one aż 73% włamań. Rezultaty badań ujęto i podsumowano w najnowszym raporcie „Ocena bezpieczeństwa korporacyjnych systemów informacyjnych w 2017 r.”

Przeczytaj także: Masz wiadomość: hakerzy najczęściej atakują firmy przez email

Cyberprzestępcy planujący atak na konkretną organizację doskonale zdają sobie sprawę, że nie ma dwóch identycznych infrastruktur IT. Z tego też względu strategia uderzenia opracowywana jest z uwzględnieniem luk w zabezpieczeniach danej ofiary. Aby pomóc organizacjom w identyfikacji czynników osłabiających bezpieczeństwo ich sieci dział Security Services firmy Kaspersky Lab organizuje coroczne pokazy, przedstawiając możliwe scenariusze ataków.

Raporty z testów penetracyjnych mają zwracać uwagę specjalistów ds. bezpieczeństwa IT na istotne luki w zabezpieczeniach, a także na wektory ataków wymierzanych współcześnie w systemy informacyjne korporacji, wzmacniając tym samym ochronę organizacji.

Wyniki badania przeprowadzonego w 2017 r. pokazują, że ogólny poziom ochrony przed intruzami z zewnątrz był oceniany nisko lub bardzo nisko w przypadku 43% analizowanych firm. 73% skutecznych ataków zewnętrznych na sieci organizacji w 2017 r. było możliwe dzięki wykorzystaniu luk w aplikacjach internetowych. Innym powszechnym wektorem penetracji sieci był atak na publicznie dostępne interfejsy zarządzania posiadające słabe lub domyślne dane uwierzytelniające. W przypadku 29% zdalnych testów penetracyjnych eksperci z Kaspersky Lab zdołali uzyskać najwyższe przywileje w całej infrastrukturze IT, w tym dostęp na poziomie administratora do najważniejszych systemów biznesowych, serwerów, sprzętu sieciowego oraz stacji roboczych pracowników w imieniu „osoby atakującej”, która nie posiadała żadnej wiedzy wewnętrznej na temat atakowanej organizacji.

fot. mat. prasowe

Biuro

Analiza testów penetracyjnych przeprowadzonych przez Kaspersky Lab w sieciach korporacyjnych w 2017 r. wykazała, że trzy czwarte skutecznych włamań powiodło się dzięki wykorzystaniu aplikacji internetowych zawierających luki w zabezpieczeniach.


Jeszcze gorzej przedstawiała się sytuacja bezpieczeństwa informacyjnego w sieciach wewnętrznych firm. Poziom ochrony przed atakującymi z wewnątrz został określony jako niski lub bardzo niski w przypadku 93% analizowanych firm. Najwyższe przywileje w sieci wewnętrznej zostały uzyskane w 86% analizowanych firm; w przypadku 42% z nich cel ten osiągnięto w zaledwie dwóch krokach podjętych w ramach ataku. Średnio w każdym projekcie zidentyfikowano dwa do trzech wektorów ataków pozwalających na uzyskanie najwyższych przywilejów. Posiadając takie przywileje, atakujący mogą przejąć pełną kontrolę nad całą siecią, łącznie z systemami o krytycznym znaczeniu dla działalności.

Znana luka w zabezpieczeniach MS17-010, powszechnie wykorzystywana zarówno w indywidualnych atakach ukierunkowanych, jak i przez oprogramowanie ransomware, takie jak WannaCry oraz NotPetya/ExPetr, została wykryta w 75% firm, które zostały poddane wewnętrznym testom penetracyjnym po tym, jak informacje na temat tej luki zostały upublicznione. Niektóre z takich organizacji nie uaktualniły swoich systemów Windows nawet po upływie 7-8 miesięcy od publikacji łaty. Ogólnie przestarzałe oprogramowanie zostało zidentyfikowane w sieciach 86% analizowanych firm oraz w sieciach wewnętrznych 80% firm, co świadczy o tym, że niestety na skutek słabej implementacji podstawowych procesów bezpieczeństwa IT wiele przedsiębiorstw może stanowić łatwy cel dla osób atakujących.

Wyniki badania pokazują, że najsłabiej zabezpieczone są aplikacje internetowe agencji rządowych – każda z nich zawierała luki w zabezpieczeniach wysokiego ryzyka. Przed ewentualną ingerencją z zewnątrz lepiej zabezpieczone są aplikacje e-handlu. Tylko nieco ponad jedna czwarta posiada luki w zabezpieczeniach wysokiego ryzyka, przez co należy uznać je za najlepiej chronione.

Wdrożenie prostych środków bezpieczeństwa, takich jak filtrowanie ruchu sieciowego oraz polityka dotycząca haseł, mogłoby znacząco poprawić stan bezpieczeństwa. Na przykład połowie ataków można było zapobiec, ograniczając dostęp do interfejsów zarządzania – powiedział Siergiej Ochotin, starszy analityk bezpieczeństwa z działu Security Services, Kaspersky Lab.

W celu poprawy sytuacji bezpieczeństwa firmom zaleca się następujące działania:
  • Zwracaj szczególną uwagę na zasady dotyczące bezpieczeństwa aplikacji internetowych, niezwłocznego aktualizowania oprogramowania zawierającego luki w zabezpieczeniach, ochrony za pomocą hasła oraz zapory sieciowej.
  • Regularnie przeprowadzaj ocenę bezpieczeństwa infrastruktury IT (łącznie z aplikacjami).
  • Dopilnuj, aby incydenty naruszenia bezpieczeństwa informacji były wykrywane możliwie najwcześniej. Niezwłoczne wykrycie działań cyberprzestępców we wczesnych etapach ataku oraz natychmiastowa reakcja mogą pomóc zapobiec powstaniu szkód lub je znacznie złagodzić. Dojrzałe organizacje, w których ustanowiono procesy oceny bezpieczeństwa, zarządzania lukami oraz wykrywania incydentów naruszenia bezpieczeństwa informacji, mogą rozważyć przeprowadzenie testów typu Red Teaming. Takie testy pomagają sprawdzić, jak dobrze infrastruktury są zabezpieczone przed atakującymi dysponującymi dużymi umiejętnościami, którzy działają w pełnym ukryciu. Pomagają również w szkoleniu działu bezpieczeństwa, umożliwiając identyfikowanie ataków i reagowanie na nie w rzeczywistych warunkach.

oprac. : eGospodarka.pl eGospodarka.pl

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: