Positive Technologies

Специалисты Positive Technologies представили итоги анализа защищенности корпоративных систем российских и зарубежных компаний в 2017 году.

При проведении тестирования на проникновение от лица внутреннего злоумышленника исследователям во всех без исключения случаях удалось захватить полный контроль над инфраструктурой. При этом только в 7% систем сложность получения доступа к критически важным ресурсам оценивалась как средняя, обычно же полностью скомпрометировать всю корпоративную систему может нарушитель низкой квалификации. От лица внешнего злоумышленника, использующего, в числе прочего, методы социальной инженерии и атаки на беспроводные сети, удалось преодолеть сетевой периметр в 68% работ.

По сравнению с 2016 годом наблюдается тенденция к снижению сложности преодоления сетевого периметра. Если прежде сложность получения доступа к ресурсам локальной вычислительной сети оценивалась как тривиальная в 27% случаев, то теперь этот показатель вырос до 56%.

В ходе проектов по анализу защищенности выявлялись в среднем два вектора проникновения во внутреннюю сеть организации. Максимальное число обнаруженных векторов составило 10, а возраст самой старой выявленной уязвимости CVE-1999-0532составляет 18 лет.

Удобным способом проникновения в ЛВС являются беспроводные сети. По статистике, 40% компаний используют словарные пароли для подключения к своим сетям Wi-Fi. При этом 75% таких сетей доступны за пределами контролируемой зоны компании и в таком же количестве беспроводных сетей отсутствует изоляция между пользователями. Таким образом, чтобы эксплуатировать уязвимости в личных и корпоративных ноутбуках, взломщику даже не нужно физически находиться в офисе компании.

Как рассказали в Positive Technologies, еще одно слабое звено в защите корпоративных сетей — сотрудники, которые легко поддаются методам социальной инженерии: 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник запускает приложенные к письму зловредные файлы. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть важную информацию.

Получение полного контроля над всей инфраструктурой обычно начинается с малого: злоумышленник захватывает контроль над одной или несколькими рабочими станциями, используя недостаточно стойкие пароли, сетевые атаки либо уязвимости устаревших версий ОС. Дальше сценарий атаки довольно типовой: злоумышленник просто запускает специальную утилиту для сбора паролей всех пользователей ОС на компьютерах, которые уже контролирует. Как правило, некоторые из собранных паролей подходят к другим компьютерам, и нарушитель проделывает то же самое и на них. Так он проходит шаг за шагом по ресурсам компании, пока не получит пароль администратора домена, который позволяет закрепиться в инфраструктуре надолго и полностью контролировать самые важные системы.

Для противодействия внутренним нарушителям необходим комплексный подход к защите. Как минимум следует использовать только актуальные версии ОС и ПО, а также стойкие к подбору пароли для всех пользователей на всех ресурсах, особенно для администраторов. Рекомендуется также использовать двухфакторную аутентификацию для администраторов ключевых систем и не предоставлять сотрудникам административные привилегии на их компьютерах.

Злоумышленники могут преодолеть периметр и попасть в корпоративную сеть 73% компаний промышленного сегмента. В 82% компаний возможно проникновение из корпоративной сети в технологическую, в которой функционируют компоненты АСУ ТП. Таковы результаты исследования векторов атак на корпоративные информационные системы промышленных компаний, проведенного Positive Technologies

Одной из главных возможностей для получения взломщиком доступа к корпоративной сети оказались административные каналы управления. Часто администраторы промышленных систем создают для себя возможности удаленного подключения к ним — это позволяет им, например, не находиться все время на объекте, а работать из офиса.

В каждой промышленной организации, в которой исследователям Positive Technologies удалось получить доступ к технологической сети из корпоративной, были выявлены те или иные недостатки сегментации сетей или фильтрации трафика — в 64% случаев они были внесены администраторами при создании каналов удаленного управления.

Наиболее распространенными уязвимостями корпоративных сетей стали словарные пароли и устаревшее ПО — эти ошибки были обнаружены во всех исследуемых компаниях. Именно эти недостатки позволяют развить вектор атаки до получения максимальных привилегий в домене и контролировать всю корпоративную инфраструктуру. Часто файлы с паролями к системам хранятся прямо на рабочих станциях сотрудников.

Подходы к обеспечению информационной безопасности промышленных объектов имеют свои особенности. Известные уязвимости в ИТ-системах зачастую не устраняются из-за нежелания вносить изменения и нарушать тем самым технологический процесс. Вместо этого основные усилия компании направляют на снижение вероятности их эксплуатации, например, путем отделения и изоляции внутренних технологических сетей от подключенных к Интернету корпоративных систем. Как показывает практика тестирования на проникновение, подобная изоляция не всегда реализуется эффективно, и у нарушителя остаются возможности для атаки, делается вывод в исследовании.

В 2017 году 47% кибератак были направлены на инфраструктуру компаний, таков результат анализа истории кибератак, представленный компанией Positive Technologies

Главным трендом 2017 года, несомненно, стали вирусы-шифровальщики. Как показал анализ поведения злоумышленников на протяжении всего 2017 года, проблему представляют не столько вымогатели, сколько вирусы, которые безвозвратно шифруют данные, нанося тем самым огромный урон инфраструктуре компаний.

За счет активного продвижения инструментов RaaS (ransomware-as-a-service, вымогатель как сервис) одни и те же троянские программы стали многократно использоваться разными лицами, а порог входа в киберпреступный бизнес снижается, поскольку через Интернет купить вредоносные программы теперь может любой желающий. А значит, число вредоносных кампаний будет только увеличиваться.

В течение всего 2017 года росло и количество жертв среди обычных пользователей: если в первом квартале аналитики Positive Technologies насчитали 21 уникальный инцидент, в результате которого пострадали частные лица, то к концу года их число приблизилось к 100. Эксперты связывают этот факт также с популярностью RaaS, поскольку новички в киберпреступной среде, которые ищут быстрой наживы, чаще всего направляют купленные троянские программы именно на частных лиц. Стоит также отметить, что в 2017 году наибольший интерес у злоумышленников вызывали именно рядовые пользователи: это 26% всех атак.

Основными мотивами злоумышленников в 2017 году были получение прямой финансовой выгоды (70%) и кража данных (26%). Самыми похищаемыми данными стали медицинская информация и данные платежных карт. При этом, как отмечают эксперты, хотя персональные данные продолжают интересовать злоумышленников, в Даркнете они уже не ценятся так высоко как раньше.

Поднявшийся в 2017 году ажиотаж вокруг криптовалют и существенный рост популярности ICO привлекли и злоумышленников, направивших атаки на криптовалютные биржи, кошельки частных лиц и ICO. И пока одни регистрировали криптокошельки и переводили на них деньги, другие опустошали эти кошельки, например, путем подбора учетных данных.

Не остался без внимания киберпреступников и стремительно растущий рынок «умных вещей». Компрометация учетных данных от IoT-устройств привела к тому, что миллионы маршрутизаторов, IP-камер, и пылесосов и прочей утвари оказались в ботнетах и используются для майнинга криптовалюты, слежки за людьми, DDoS-атак и прочего.

ИТ и промышленная отрасли, а также транспортный сектор, выделяют на обеспечение информационной безопасности до 50 млн руб. в год. Среди них – больше денег расходуется компаниями, занятыми в промышленности. Такие результаты показало исследование основных статей расходов на обеспечение информационной безопасности российскими компаниями, проведенное специалистами Positive Technologies. В выборке участвовали 170 российских компаний, большинство из которых входят в рейтинг 500 крупнейших компаний России по выручке за 2016 год или лидируют в своей отрасли. В число респондентов вошли руководители ИТ- и ИБ-подразделений, а также директора организаций.

Доля вложений российских СМИ в кибербезопасность составляет от 5 до 20 млн руб. в год. Меньше всего на нужды информационной безопасности тратят компании, занятые в сфере образования: в отдельных случаях их годовой бюджет, выделяемый на информационную безопасность, не превышает 1 млн руб.

Как и следовало ожидать, в условиях взятого правительством РФ курса на «цифровую экономику», некоторые банки и государственные организации существенно выделяются на фоне остальных компаний по объему бюджета на обеспечение информационной безопасности. Так, госорганизации выделяют на кибербезопасность до 800 млн руб. в год, а финансовые учреждения – до 300 млн руб. ежегодно.

Такое распределение ресурсов, прежде всего, связано с общими бюджетами компаний, которые в крупных государственных учреждениях в разы больше, чем в других организациях. Более того, подразделение, отвечающее непосредственно за информационную безопасность, имеется лишь в 44% компаний-респондентов, в остальных организациях необходимые функции выполняются специалистами ИТ-отдела.

Как отмечают аналитики Positive Technologies, руководство российских компаний по-прежнему склонно считать ряд затрат на обеспечение кибербезопасности лишними, считая, в том числе, что риски от возможного воздействия способен предотвратить традиционный ИТ-отдел. Такое пренебрежение может повлечь за собой самые нежелательные последствия: от реального выхода из строя комплекса информационных систем до серьезных репутационных издержек.

По статистике Positive Technologies, 67% атак были совершены с целью получения прямой финансовой выгоды. При этом больше половины атак носили массовый характер и использовали преимущественно вредоносное программное обеспечение.

Эпидемия вируса-вымогателя WannaCry показала, что стать жертвой атаки можно даже если не открывать подозрительные письма и не кликать по ссылкам в них. По данным Intel, общее количество зараженных им компьютеров превысило 530 тысяч. Другая масштабная вредоносная кампания в конце июня была вызвана шифровальщиком NotPetya. Отличительной чертой этой эпидемии было то, что целью преступников не была финансовая выгода: ПО распространялось для вывода из строя информационных систем, уничтожения файлов и саботажа.

Тренд «вымогатели как услуга» (ransomware as a service) набирает обороты. Появляются новые модели по сдаче троянов в аренду, согласно которой поставщик получает от 25% до 85% от суммы платежей жертв.

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв.

Впервые о трояне GreenDispenser стало известно в 2015 году после атак на банкоматы в Мексике, затем кражи с его применением были зафиксированы в 2016 году в странах Восточной Европы. Выдачей наличных управляет специальный компьютер, установленный в сервисной зоне банкомата. Получить к нему доступ может сотрудник банка, обслуживающий банкоматы, или человек, имеющий опыт вскрытия замков с помощью отмычки.

Как показало расследование Positive Technologies, злоумышленники получали доступ в сервисную зону банкомата для установки GreenDispenser. После этого специальные люди – так называемые дропы – при помощи трояна снимали с банкомата деньги. После успешного снятия денег дроп удалял GreenDispenser из системы. Если удалить троян через интерфейс не удавалось, GreenDispenser запускал сценарий, гарантированно удаляющий его файлы из системы, и перезагружал ее. Прибывшие сотрудники службы безопасности получали опустошенный нормально работающий банкомат.

Подобные атаки могут принять массовый характер. При разработке финансовых приложений на платформе Microsoft Windows используется специальный стандарт Extension for Financial Services для совместимости программного обеспечения оборудования банкоматов с различными устройствами. Он применяется всеми крупными производителями банкоматов.

Как подчеркивают в Positive Technologies, из-за сходства устройства банкоматов злоумышленники могут использовать одно и то же вредоносное ПО для атак на банкоматы по всему миру. В последнее время наблюдается уже нескрываемый интерес у участников киберпреступных форумов к теме ATM, в том числе к технологиям, используемым в разработке троянов. В связи с этим эксперты прогнозируют всплеск разработок новых вредоносных программ для атак на банкоматы и инфраструктуру управления банкоматами. К слову, ущерб только от одной логической атаки на банкомат в Европе в среднем составляет 8,5 тыс. долл.

Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, а половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные, включая сайты банков и государственных организаций.

Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний – 74%. Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).

Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.

Еще одно важное наблюдение? веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем. Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию.

Среднее число зарегистрированных инцидентов информационной безопасности в день в госучреждениях составляет 2160, в ИТ-компаниях — 1516, в финансовых компаниях — 528 инцидентов.

Целью половины атак на государственные учреждения являлся доступ к важным данным. Наиболее ценным информационным ресурсом в государственных учреждениях являются персональные данные, поэтому атаки направлены либо на пользователей приложений, либо на получение доступа к базам, где хранится такая информация. Задачей злоумышленников при атаке на финансовые организации является кража денежных средств. Большинство атак направлены либо на получение доступа к чувствительным данным, либо на получение контроля над сервером.

Нарушителями же в сфере образования часто являются сами учащиеся, которые стремятся либо получить доступ к данным, например к экзаменационным материалам, либо изменить текущую информацию, например результаты экзаменов или стипендиальные списки.

Наиболее часто в первом квартале 2017 года встречались атаки «Внедрение операторов SQL» и «Межсайтовое выполнение сценариев», каждая составляет примерно треть от общего числа зафиксированных атак. Если атака «Внедрение операторов SQL» используется для получения доступа к чувствительной информации или выполнения команд и дальнейшего проникновения в систему, то атака «Межсайтовое выполнение сценариев» направлена на пользователей приложений. Возможность проведения атак на пользователей вышла на первое место в рейтинге самых распространенных угроз веб-приложений в прошедшем году.

Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах. Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%).

Наибольшее число атак было направлено на государственные организации – на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования, медицинские учреждения и сфера услуг, промышленные и оборонные предприятия.

Большинство атак — 40% — были нацелены на ИТ-инфраструктуру компаний. Преимущественно, злоумышленников интересовала информация, которую можно продать на черном рынке (например, персональные данные, данные владельцев платежных карт). Однако эксперты отмечают снижение интереса киберпреступников к персональным данным и, соответственно, снижение их стоимости, что может быть связано с перенасыщением рынка.

Второе место по распространенности заняли атаки на веб-приложения (33%), которые открывают перед злоумышленниками множество возможностей: от получения конфиденциальной информации до проникновения во внутреннюю сеть компании. Большинство веб-атак были реализованы через уязвимые компоненты (устаревшие библиотеки и CMS-системы), хотя уязвимости веб-приложений также эксплуатировались. Специалисты Positive Technologies в начале 2017 года зафиксировали множество атак на сайты государственных организаций и различных коммерческих компаний.

Существенно увеличилось и число атак на POS-терминалы (3% от всех атак), превысив показатели первого квартала 2016 года почти в шесть раз. При этом злоумышленники использовали средства удаленного администрирования и трояны.

Если говорить о наиболее популярных методах атак, то на первом месте по-прежнему использование вредоносного ПО. Эксперты отмечают появление модели «вымогатели как услуга»: создатели программ все чаще не являются организаторами атак, а зарабатывают на их продаже преступным группировкам. Таким образом, разработчики, получив прибыль от продажи, могут готовить новый троян в то время, как другие преступники занимаются непосредственно реализацией атаки.

Что касается DDoS-атак, то в первом квартале 2017 года их мощность существенно увеличилась в связи с подключением к ботнетам все большего количества устройств Интернета вещей. Так, в марте 2017 года было обнаружено очередное вредоносное ПО, направленное на IP-камеры, системы видеонаблюдения и сетевые записывающие устройства. Кроме того, было выявлено свыше 185 тыс. уязвимых IP-камер, которые также могут оказаться частью нового ботнета.