Izvor: eKapija | Ponedjeljak, 20.08.2018.| 15:30
Izdvojite članak Odštampajte vijest

Tri četvrtine uspješnih testova hakovanja korporativnih mreža u 2017. ostvareno kroz ranjivosti veb aplikacija - Najveći problem zastarjeli softveri

Ilustracija
Analiza testova proboja mreže, koje su istraživači kompanije Kaspersky Lab izveli na korporativnim mrežama tokom 2017. godine, otkrivaju da je tri četvrtine (73%) uspješnih hakovanja perimetara postignuto korišćenjem veb aplikacija sa ranjivostima. Nalazi su sumirani u novom izvještaju - Procjena bezbjednosti korporativnih informacionih sistema u 2017. godini (Security assessment of corporate information systems in 2017).

Svaka IT infrastruktura je jedinstvena, a najopasniji napadi su posebno planirani tako da uzmu u obzir ranjivosti određene organizacije. Svake godine odjeljenje za bezbjednosne usluge kompanije Kaspersky Lab sprovodi praktičnu demonstraciju mogućih scenarija napada, kako bi pomoglo organizacijama širom svijeta da identifikuju ranjivosti u svojim mrežama i izbjegnu finansijsku, operativnu i reputacionu štetu. Svrha godišnjeg izvještaja o testovima proboja je da IT stručnjaci upoznaju relevantne ranjivosti i vektore napada na savremene korporativne informacione sisteme i na taj način ojačaju zaštitu njihovih organizacija.

Rezultati istraživanja iz 2017. pokazuju da je ukupan nivo zaštite od eksternih napadača ocijenjen kao nizak ili ekstremno nizak za 43% analiziranih kompanija. Čak 73% uspješnih eksternih napada na mrežne perimetre organizacija u 2017. postignuto je korišćenjem veb aplikacija koje su sadržale ranjivosti. Još jedan uobičajeni smjer za proboj mrežnog perimetra bio je napad na javno dostupne upravljačke interfejse sa slabim ili podrazumijevanim akreditivima. U 29% projekata za testiranje spoljnih upada, stručnjaci kompanije Kaspersky Lab uspješno su dobili najviše privilegije u cijeloj IT infrastrukturi, uključujući administrativni pristup najvažnijim poslovnim sistemima, serverima, mrežnoj opremi i radnim stanicama zaposlenih u ime "napadača" koji nisu imali unutrašnje znanje o ciljnoj organizaciji i koji se nalaze na Internetu.

Stanje informacione bezbjednosti unutar internih mreža preduzeća bila je još gora. Stepen zaštite od internih napadača bio je identifikovan kao nizak ili ekstremno nizak za 93% svih analiziranih kompanija. Najviši stepen privilegije upravljanja unutrašnjom mrežom je ostvaren u 86% analiziranih kompanija; za 42% njih bila su potrebna samo dva koraka napada. U prosjeku su identifikovani dva do tri vektora napada sa kojima se najviše privilegije mogu dobiti u svakom projektu. Kada ih napadači dobiju, mogu dobiti potpunu kontrolu nad cijelom mrežom uključujući kritične poslovne sisteme.

Ozloglašena ranjivost MS17-010, koja je naširoko eksploatisana kako u napadima na pojedince, tako i putem ransomware-a kao što su WannaCry i NotPetya/ExPetr, otkrivena je u 75% kompanija koje su podvrgnute internim testovima upada, nakon objavljivanja informacija o ranjivosti. Neke od ovih organizacija nisu ažurirale svoje Windows sisteme čak ni 7-8 mjeseci pošto su ažuriranja i zakrpe za njih objavljene. Generalno, zastarjeli softver je identifikovan na mrežnom perimetru kod 86% analiziranih kompanija i u internim mrežama kod 80% kompanija, što pokazuje da, nažalost, zbog loše implementacije osnovnih IT bezbjednosnih procesa mnoga preduzeća mogu postati laka meta za napadače.

Prema rezultatima projekata bezbjednosne procjene, web aplikacije vladinih tijela bili su najmanje bezbjedne, sa ranjivošću visokog rizika u svakoj aplikaciji (100%). Nasuprot tome, aplikacije e-trgovine su bolje zaštićene od mogućih spoljašnjih ometanja. Samo nešto više od četvrtine ima ranjivosti visokog rizika, što ih čini najviše zaštićenim.

- Kvalitativna implementacija jednostavnih bezbjednosnih mjera, kao što je filtriranje mreže i politika lozinki, znatno bi povećala nivo bezbjednosti. Na primjer, polovina vektora napada moglo je biti spriječeno ograničavanjem pristupa upravljačkim interfejsima - rekao je Sergej Ohotin (Sergey Okhotin), viši bezbjednosni analitičar u sektoru za analizu bezbjednosnih usluga u kompaniji Kaspersky Lab.

Unos komentara je omogućen samo ulogovanim korisnicima.