Web aplikacije sve ranjivije

Analiza testova proboja mreže koju su istraživači kompanije Kaspersky Lab izveli na korporativnim mrežama tokom 2017. godine otkrivaju da je tri četvrtine (73%) uspešnih hakovanja perimetara postignuto korištenjem veb aplikacija sa ranjivostima. Nalazi su sumirani u novom izveštaju, “Procena bezbednosti korporativnih informacionih sistema u 2017. godini (Security assessment of corporate information systems in 2017).

Svaka IT infrastruktura je jedinstvena, a najopasniji napadi su posebno planirani tako da uzmu u obzir ranjivosti određene organizacije. Svake godine odeljenje za bezbednosne usluge kompanije Kasperski Lab sprovodi praktičnu demonstraciju mogućih scenarija napada kako bi pomogli organizacijama širom sveta da identifikuju ranjivosti u svojim mrežama i izbegnu finansijsku, operativnu i reputacionu štetu. Svrha godišnjeg izveštaja o testovima proboja je da IT stručnjaci upoznaju relevantne ranjivosti i vektore napada na savremene korporativne informacione sisteme i na taj način ojačaju zaštitu njihovih organizacija.

Rezultati istraživanja iz 2017. godine pokazuju da je ukupan nivo zaštite od eksternih napadača ocenjen kao nizak ili ekstremno nizak za 43 odsto analiziranih kompanija. 73 odsto uspešnih eksternih napada na mrežne perimetre organizacija u 2017. godini postignuto je korišćenjem veb aplikacija koje su sadržale ranjivosti. Još jedan uobičajeni smer za proboj mrežnog perimetra bio je napad na javno dostupne upravljačke interfejse sa slabim ili podrazumevanim akreditivima. U 29% projekata za testiranje spoljnih upada, stručnjaci kompanije Kaspersky Lab uspešno su dobili najviše privilegije u celoj IT infrastrukturi, uključujući administrativni pristup najvažnijim poslovnim sistemima, serverima, mrežnoj opremi i radnim stanicama zaposlenih u ime “napadača” koji nisu imali unutrašnje znanje o ciljnoj organizaciji i koji se nalaze na Internetu.

Situacija informacione bezbednosti unutar internih mrežama preduzeća bila je još gora. Stepen zaštite od internih napadača bio je identifikovan kao nizak ili ekstremno nizak za 93 odsto svih analiziranih kompanija. Najviši stepen privilegije upravljanja unutrašnjom mrežom je ostvaren u 86 odsto analiziranih kompanija; za 42 odsto njih bila su potrebna samo dva koraka napada. U proseku su identifikovani dva do tri vektora napada sa kojima se najviše privilegije mogu dobiti u svakom projektu. Kada ih napadači dobiju, mogu dobiti potpunu kontrolu nad celom mrežom uključujući kritične poslovne sisteme.

Ozloglašena ranjivost MS17-010 koja je naširoko eksploatisana kako u napadima na pojedince, tako i putem ransomvera kao što su VannaCry i NotPetya / ExPetr, otkrivena je u 75% odsto kompanija koje su podvrgnute internim testovima upada, nakon objavljivanja informacija o ranjivosti. Neke od ovih organizacija nisu ažurirale svoje Windows sisteme čak ni 7-8 meseci nakon što su ažuriranja i zakrpe za njih objavljene. Generalno, zastareli softver je identifikovan na mrežnom perimetru kod 86 odsto analiziranih kompanija i u internim mrežama kod 80 odsto kompanija, što pokazuje da, nažalost, zbog loše implementacije osnovnih IT bezbednosnih procesa mnoga preduzeća mogu postati laka meta za napadače.

Prema rezultatima projekata bezbednosne procene, veb aplikacije vladinih tela bili su najmanje bezbedne, sa ranjivošću visokog rizika u svakoj aplikaciji (100%). Nasuprot tome, aplikacije e-trgovine su bolje zaštićene od mogućih spoljašnjih ometanja. Samo nešto više od četvrtine ima ranjivosti visokog rizika, što ih čini najviše zaštićenim.

“Kvalitativna implementacija jednostavnih bezbednosnih mera kao što je filtriranje mreže i politika lozinki, znatno bi povećala nivo bezbednosti. Na primer, polovina vektora napada moglo je biti sprečeno ograničavanjem pristupa upravljačkim interfejsima “- rekao je Sergej Okhotin (Sergey Okhotin), viši bezbednosni analitičar u sektoru za analizu bezbednosnih usluga u kompaniji Kaspersky Lab.

Kako bi poboljšale svoj bezbednosni status, kompanijama se savetuje da:

  • Posebnu pažnju posvete bezbednosti veb aplikacija, pravovremenom ažuriranju ugroženog softvera, zaštiti lozinki i firewall pravilima.
  • Rade redovne procene bezbednosti za IT infrastrukturu (uključujući aplikacije).
  • Obezbede da bezbednosni incidenti budu otkriveni što pre. Pravovremeno otkrivanje aktivnosti aktera pretnji u ranim fazama napada i brz odgovor na njih može pomoći da se spreči ili značajno ublaži prouzrokovana šteta. “Zrele” organizacije u kojima postoje uspostavljeni procesi za procenu bezbednosti, upravljanje ranjivostima i otkrivanje bezbednosnih incidenata, možda bi trebale razmisliti o testovima kao “Red Teaming”. Takvi testovi pomažu u proveri koliko dobro su infrastrukture zaštićene od visoko kvalifikovanih napadača koji operišu gotovo nevidljivo I pomažu pri obučavanju službi informacione bezbednosti da identifikuju napade i reaguju na njih u realnim uslovima.