Ijobiy texnologiyalar: Kirish sinovchilari kompaniyalarning 92% tarmoq perimetrlariga kirib borishdi
Mutaxassislar tashkilotlarning 92% tarmoq perimetriga kirib borishga muvaffaq bo’lishdi va ichki hujumchi o’rganilgan barcha tizimlarning infratuzilmasi ustidan to’liq nazoratni qo’lga kiritdi.
Tashqi penetratsiya sinovlari davomida mutaxassislar tashkilotlarning 92% tarmoq perimetrini muvaffaqiyatli buzib kirishdi va ichki hujumchilar sinovdan o’tgan barcha tizimlarning infratuzilmasi ustidan to’liq nazoratni qo’lga kiritishdi. Ko’pgina kompaniyalarda ichki tarmoqqa kirishning bir nechta usullari (vektorlari) aniqlandi.
Positive Technologies tomonidan o’tkazilgan tadqiqotga ko’ra, har bir tizimda aniqlangan penetratsiya vektorlarining o’rtacha soni ikkita, har bir tizimda aniqlangan vektorlarning maksimal soni esa beshta edi. Odatda, tashkilotning ichki tarmog’iga ma’lum xavfsizlik kamchiliklaridan foydalanish orqali kirish mumkin, bu esa tajovuzkordan chuqur nazariy bilimlarni talab qilmaydi.
«Sinov paytida muvaffaqiyatli hujumlarning eng keng tarqalgan turlaridan biri bu faqat ichki tarmoqdan kirish mumkin bo’lgan tizimlar uchun tarmoq perimetrida interfeyslarni aniqlashdir», deydi Positive Technologies tahlilchisi Yekaterina Kilyusheva. Masalan, internetga ulanadigan video kuzatuv tizimi tajovuzkorga nafaqat kamera kanallarini ko’rish, balki serverda ixtiyoriy buyruqlarni bajarish imkonini berishi mumkin. Bu tarmoq perimetrini to’g’ri aniqlash va har bir tizim komponentining xavfsizlik holatini kuzatish muhimligini ko’rsatadi. Biz tarmoq perimetridagi xizmatlar sonini cheklashni va ochiq interfeyslarning barcha internet foydalanuvchilari uchun haqiqatan ham kirishini ta’minlashni tavsiya qilamiz. Turli resurslarga kirish uchun hisob ma’lumotlari, kompaniya manzillar kitobi va boshqalar kabi maxfiy ma’lumotlar oddiy matnda saqlanmaganligiga ishonch hosil qilish ham bir xil darajada muhimdir. Xavfsizlik choralaringiz samaradorligini kuzatish uchun biz muntazam ravishda penetratsiya sinovlarini o’tkazishni tavsiya qilamiz. ».
Mutaxassislarning fikriga ko’ra, veb-ilova kodidagi zaifliklar barcha sinovdan o’tgan kompaniyalarda tarmoq perimetridagi asosiy muammo hisoblanadi. Umuman olganda, penetratsiya vektorlarining 75% veb-resurslarning yetarli darajada himoyalanmaganligi bilan bog’liq. Kompaniyalarning yarmida perimetrni buzish uchun atigi bitta qadam kerak bo’ldi va ko’pincha bu veb-ilovadagi zaiflikdan foydalanishni o’z ichiga oldi.
«Veb-ilova qanchalik murakkab va u qanchalik ko’p funksiyalarga ega bo’lsa, ishlab chiquvchilar kodda xatoga yo’l qo’yganliklari ehtimoli shunchalik yuqori bo’ladi, bu esa tajovuzkorga hujumni amalga oshirishga imkon beradi», deb ta’kidlaydi Yekaterina Kilyusheva. Ushbu xatolarning ba’zilari penetratsion sinovlar paytida aniqlanadi, ammo ularning aksariyati faqat dasturning oq quti sinovlari orqali aniqlanishi mumkin, bu esa manba kodini tahlil qilishni o’z ichiga oladi. Zaifliklarni tuzatish odatda kodni o’zgartirishni talab qiladi, bu esa vaqt talab qilishi mumkin. Biznes jarayonlari uzluksiz davom etishini ta’minlash uchun veb-ilova xavfsizlik devoridan foydalanish tavsiya etiladi, bu zaiflik tuzatilgunga qadar undan foydalanishning oldini oladi va shuningdek, yangi va kashf etilmagan zaifliklardan himoya qiladi. ».
Tekshirilayotgan barcha tizimlarda insayder infratuzilmani to’liq nazoratga oldi. Bundan tashqari, mutaxassislar ICS, SWIFT va ATM boshqaruvlari kabi muhim resurslarga kirish imkoniyatiga ega bo’lishdi.
Mutaxassislarning ta’kidlashicha, ichki tarmoqdagi odatiy hujum vektori kompyuterlarga kirish uchun lug’at parollarini qo’pol ravishda majburlash va keyin barcha OT foydalanuvchilarining akkauntlarini yig’adigan ixtisoslashtirilgan yordamchi dasturlarni ishga tushirishni o’z ichiga oladi. Ushbu yig’ilgan akkauntlardan keyin boshqa kompyuterlarda foydalanish mumkin, bu esa tajovuzkorga tarmoq bo’ylab bir kompyuterdan boshqasiga o’tish imkonini beradi. Yangilanishlarning, ayniqsa muhim zaifliklarni tuzatadiganlarning yo’qligi, tajovuzkorlarning doimiy ravishda ekspluatatsiyasini osonlashtiradi. Zaif OT versiyalari kompaniyalarning ichki infratuzilmasida eng keng tarqalgan bo’lgan: ular sinovdan o’tgan tizimlarning 44 foizida aniqlangan.
Kompaniyaga фишинг hujumini simulyatsiya qiluvchi ijtimoiy muhandislik testlari ham o’tkazildi. Ushbu testlar biriktirilgan hujjatlar yoki veb-resurslarga havolalarni o’z ichiga olgan maxsus tayyorlangan elektron pochta xabarlarini yuborishni o’z ichiga oldi. Ushbu testlar natijalari shuni ko’rsatdiki, har uch xodimdan biri ish kompyuterida zararli kodni ishga tushirish xavfi ostida, har yetti xodimdan biri tajovuzkor bilan suhbatga kirishib, maxfiy ma’lumotlarni oshkor qilishi mumkin va har o’ninchi xodimdan biri o’z ma’lumotlarini soxta autentifikatsiya shakliga kiritadi.
Tahlil shuningdek, simsiz tarmoqlar kompaniyaning ichki infratuzilmasiga kirish uchun potentsial vektor bo’lib qolishini tasdiqladi. Sinovdan o’tgan tizimlarning 87 foizida simsiz tarmoqlarga nazorat zonasidan tashqarida – yaqin atrofdagi kafe, avtoturargoh yoki kirish qismidagi mehmonlar zonasidan kirish mumkin edi. Tizimlarning 63 foizida mutaxassislar mahalliy tarmoqqa simsiz tarmoqlar orqali kirishdi.
