Мисконфигурации 2024 года
Редакция журнала "Информационная безопасность", 20/01/25
Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
Нарушения парольной политики
На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика. Вместо нее применяется политика по умолчанию, которая подразумевает использование паролей длиной всего лишь 4 символа. Чтобы обеспечивать безопасность, пароль должен включать не менее 8, а лучше 10–12 символов.
61% Linux-хостов не имеет установленного пароля для загрузчика операционной системы GRUB. Такая ошибка дает злоумышленнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учетных записей и таким образом получить контроль над системой.
Почти у трети Windows-хостов отключено управление паролями локальных администраторов (LAPS). Этот инструмент позволяет генерировать уникальный и надежный пароль администратора для каждого компьютера домена. Пароль автоматически меняется через определенный период времени, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что злоумышленники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата других устройств в сети.
По данным BI.ZONE, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 г., были связаны именно с небезопасной парольной политикой для административных учетных записей.
Системные администраторы жертвуют безопасностью
Зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу.
Так, на 37% исследованных Windows-хостов была отключена защита LSA. Эта мисконфигурация позволяет злоумышленникам получить доступ к учетным данным, хранящимся в памяти процессов.
Еще в 36% случаев на Windows-хостах не настроена подпись SMB-пакетов, отвечающих за удаленный доступ к файлам, устройствам и другим сетевым ресурсам. В случае атаки киберпреступники могут перехватить неподписанные SMB-пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows-хостов используется устаревший протокол SMBv1. Он содержит ряд уязвимостей, которые могут быть проэксплуатированы для получения полного доступа к интересующим их системам.
Кроме того, на 13% Windows-хостов было отключено обновление компонентов операционной системы. Использование устаревших версий программ представляет угрозу, поскольку в них регулярно выявляют уязвимости, которые могут быть исправлены только с помощью обновлений.
Удаленная авторизация с нарушением правил безопасности
Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в рамках этого протокола считается аутентификация по специально сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю.
Такие хосты часто бывают доступны через Интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность успешных брутфорс-атак, то есть атак с помощью перебора паролей. Чтобы минимизировать этот риск, рекомендуется применять SSH-аутентификацию по ключу.
По материалам BI.ZONE