27/12/24
66% хостов имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Чаще всего встречаются различные нарушения парольной политики. Небезопасная парольная политика стала причиной 35% высококритичных киберинцидентов в 2024 году.
Специалисты BI.ZONE EDR проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 000 хостов — серверов и рабочих станций. 66% исследованных хостов имеют как минимум одну опасную мисконфигурацию, т. е. ошибку в настройке программ или доступа.
Нарушения парольной политики — самая распространенная категория мисконфигураций.На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика. Вместо нее применяется политика по умолчанию, которая подразумевает использование паролей длиной всего лишь 4 символа. Такие пароли ненадежны: чтобы обеспечивать безопасность, пароль должен включать не менее 8, а лучше 10–12 символов.
61% Linux-хостов не имеет установленного пароля для загрузчика операционной системы GRUB. Такая ошибка дает злоумышленнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учетных записей и таким образом получить контроль над системой.
Почти у трети Windows-хостов (29%) отключено управление паролями локальных администраторов (LAPS). Этот инструмент позволяет генерировать уникальный и надежный пароль администратора для каждого компьютера домена. Пароль автоматически меняется через определенный период времени, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что злоумышленники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата других устройств в сети.
Демьян Соколин, руководитель направления развития BI.ZONE EDR:
«Вопреки распространенному стереотипу, слабый пароль не самая частая ошибка: они встречаются у 1% локальных пользователей на Windows и у 5% — на Linux. При этом такая мисконфигурация — одна из самых опасных: компрометация даже одного хоста с помощью подобранного пароля может облегчить распространение ВПО или продвижение злоумышленника по корпоративной инфраструктуре вплоть до установления полного контроля над ней.
По данным BI.ZONE, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, были связаны именно с небезопасной парольной политикой для административных учетных записей».
До трети системных администраторов жертвуют безопасностью ради временного удобства.
Зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу.
Так, на 37% исследованных Windows-хостов была отключена защита LSA. Эта мисконфигурация позволяет злоумышленникам получить доступ к учетным данным, хранящимся в памяти процессов.
Еще в 36% случаев на Windows-хостах не настроена подпись SMB-пакетов, отвечающих за удаленный доступ к файлам, устройствам и другим сетевым ресурсам. В случае атаки киберпреступники могут перехватить неподписанные SMB-пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows-хостов используется устаревший протокол SMBv1. Он содержит ряд уязвимостей, которые могут быть проэксплуатированы злоумышленниками для получения полного доступа к интересующим их системам.
Кроме того, на 13% Windows-хостов было отключено обновление компонентов операционной системы. Использование устаревших версий программ представляет угрозу, поскольку в них регулярно выявляют уязвимости, которые могут быть исправлены только с помощью обновлений.
В четверти случаев авторизация на удаленном сервере выполняется с нарушением правил безопасности.
Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в рамках этого протокола считается аутентификация по специально сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю.
Такие хосты часто бывают доступны через интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность успешных брутфорс-атак, то есть атак с помощью перебора паролей. Чтобы минимизировать этот риск, рекомендуется применять SSH-аутентификацию по ключу.
