Около 90% госкомпаний и гос. ведомств уязвимы к кибератакам

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC

Примерно 90% российских государственных структур и ведомств уязвимы не только для профессиональных хакеров, но и для злоумышленников с низким уровнем квалификации. При этом, основные уязвимости становятся доступными из-за отсутствия своевременного обновления ПО и базовых средств защиты, а также недостаточной защитой закрытых сегментов сети.

Данные выводы опубликовали в отчёте эксперты по информационной безопасности из центра мониторинга и реагирования на кибератаки Solar JSOC «Ростелеком-Солар». В своём исследовании они проанализировали данные свыше 40 государственных компаний и организаций, органах власти федерального и регионального уровня.

Последнее время мы наблюдаем явную сегментацию профиля киберпреступников в зависимости от типа жертвы. В частности, атаки на госсектор инициируются либо так называемыми киберхулиганами с простым инструментарием, либо продвинутыми кибергруппировками, которые применяют более сложные методики и специально разработанные утилиты.

Первые нацелены на несложную монетизацию и занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок. Вторые стараются получить длительный контроль над инфраструктурой или доступ к конфиденциальным данным с целью кибершпионажа

Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»

Уязвимости, которые используют киберхулиганы, часто возникают из-за отсутствия обновлений ПО в изолированных от интернета сегментах сети, так как служба обновления сама не может установить необходимые пакеты из сети в виду политик безопасности, а ручная установка не предусмотрена в более 95% компаний. Как результат более 90% рабочих станций и серверов имеют ошибки в реализации протокола RDP, а более 70% – ошибки удаленного доступа к сетевым ресурсам (SMB).

Многие государственные компании используют легаси разработки с устаревшим кодом и протоколами шифрования. Например, незащищенное интернет-соединение (чаще всего http) используют более 50% организаций, а более 70% – веб-приложения, подверженные классическим уязвимостям. Однако госструктуры атакуют не только киберхулиганы-новички, но и профессиональные хакеры.

Продвинутые кибергруппировки используют в первую очередь не технические, а процессные уязвимости. Например, ищут в инфраструктуре жертвы неучтенные точки доступа к системе, чтобы попасть в менее защищенный публичный сегмент, после чего извлекают конфиденциальные данные.

По прежнему одной из наиболее критичных уязвимостей является некорректный процесс работы с ИТ-подрядчиками. Обычно в организациях для них нет единой точки входа в инфраструктуру, чем с радостью пользуются злоумышленники и часто прибегают к атакам через взлом подрядчика в результате чего после взлома попадают в ИТ -окружение жертвы.