73% מההצלחות במבחני חדירה התרחשו דרך פרצות באפליקציות רשת

קספרסקי

כל תשתית IT היא ייחודית, וההתקפות המסוכנות ביותר מתוכננות כדי לנצל את הפרצות של הארגון המסוים אליו הן מכוונות. בכל שנה, מחלקת שירות האבטחה של מעבדת קספרסקי מבצעת הדגמה מעשית של תרחישי תקיפה אפשריים, במטרה לסייע לארגונים ברחבי העולם לזהות פרצות ברשתות שלהם ולהימנע מפגיעה כספית, תפעולית או פגיעה במוניטין הארגון. המטרה של דוח מבחני החדירה השנתי היא להגביר מודעות בקרב מומחי אבטחת מידע אודות פרצות וערוצי תקיפה יעילים כנגד מערכות מידע מודרניות בארגונית, ובכך לחזק את הארגונים.

במחקרים שנערכו בשנת 2017 מראים כי אצל 43% מהחברות, רמת ההגנה הכללית כנגד תוקפים חיצוניים הוערכה כנמוכה או נמוכה מאוד. 73% מההתקפות החיצוניות המוצלחות על הרשת ההיקפית של ארגונים בוצעו דרך פרצות באפליקציות רשת. ערוץ תקיפה נפוץ נוסף במבחני החדירה היה התקפה על ממשקי ניהול הפתוחים לרשת עם סיסמאות חלשות או עם סיסמאות ברירת המחדל שלהם. ב-29% מהפרויקטים של מבחני החדירה החיצוניים מומחי מעבדת קספרסקי הצליחו להשיג את ההרשאות הגבוהות ביותר לתשתית ה-IT הכוללת, כולל גישה לרמת אדמין עבור מערכות עסקיות, שרתים, הרשת, הציוד ותחנות העבודה של העובדים. המבחנים בוצעו כשהמומחים מדמים תוקף שאין לו שום מידע פנים על ארגון המטרה ואשר מגיע מכיוון הרשת.

מצב אבטחת המידע ברשתות הפנימיות של חברות היה גרוע אף יותר. רמת ההגנה כנגד תוקפים פנימיים הוערכה כנמוכה או נמוכה מאוד אצל 93% מכלל הארגונים שנבחנו. ההרשאות הגבוהות ביותר לרשת הפנימית הושגו אצל 86% מהחברות שנבחנו, ואצל 42% מהן נדרשו שני צעדים התקפיים בלבד כדי להשיג אותן. בממוצע, בשניים מתוך 3 ערוצי התקפה בכל פרויקט בדיקות זוהתה היכולת להשיג את ההרשאות הגבוהות ביותר. ברגע שהתוקפים משיגים הרשאות שכאלה הם יכולים לקבל שליטה מלאה על הרשת כולה, כולל על מערכות עסקיות חיוניות.

הפרצה הידועה כ-MS17-10, אשר נוצלה במסגרת התקפות ממוקדות וכן על ידי התקפות כופר נרחבות כגון WannaCry ו- NotPetya/ExPetr, זוהתה ב- 75% מהחברות שעברו מבדקי חדירה פנימיים. חלק מהארגונים לא עדכנו את מערכת החלונות שלהם אפילו 7-8 חודשים לאחר פרסום עדכון האבטחה לפירצה זו. באופן כללי, תוכנות מיושנות נמצאו אצל 86% מהחברות ברשת ההיקפית וב- 80% מהרשתות הפנימיות של חברות. אבטחת מידע כה לקויה הופכת חברות רבות למטרות קלות לתוקפים.

על פי ניתוח של פרויקטים לבדיקות חדירה, אפליקציות הרשת של גופי ממשל נמצאו כהכי פחות מאובטחות - פרצות ברמת סיכון גבוהה נמצאו ב-100% מהאפליקציות האלה. לעומת זאת, אפליקציות מסחר אלקטרוני היו מוגנות ברמה הגבוהה ביותר מפני חדירה מבחוץ - רק מעט יותר מרבע מהן הכילו פרצות בסיכון גבוה.

"הטמעה איכותית של אמצעי אבטחה פשוטים, כגון סינון רשת ומדיניות סיסמאות, משפרת משמעותית את עמידות אבטחת המידע של ארגונים. לדוגמא, חצי מערוצי התקיפה היו נחסמים באמצעות הגבלת הגישה לממשקי ניהול", אמר סרגיי אוקוטין, אנליסט אבטחה בכיר בשירות ניתוח האבטחה של מעבדת קספרסקי.
כדי לשפר את עמידות האבטחה, מעבדת קספרסקי ממליצה לחברות:
להקדיש תשומת לב מיוחדת לאבטחה של אפליקציות רשת, עדכונים מהירים של פרצות תוכנה, הגנה על סיסמאות וחוקי פיירוול.

להריץ סקירות אבטחת מידע קבועות של תשתית ה- IT (כולל אפליקציות)
להבטיח כי אירועי אבטחת מידע מזוהים במהירות רבה. זיהוי מהיר, בשלב מוקדם של ההתקפה מצד גורם איום, יחד עם תגובה זריזה, יכולים לסייע, למנוע או למזער את הנזק הנגרם. ארגונים ותיקים יותר, שם כבר מופעלים תהליכים לביצוע הערכות אבטחה, ניהול פרצות וזיהוי של אירועי אבטחת מידע, יכולים לשקול להריץ מבחני Red Teaming. מבחנים שכאלה מסייעים לבדוק עד כמה התשתית מוגנת מפני תוקפים בעלי יכולות גבוהות הפועלים ברמת החשאיות הגבוהה ביותר. הם גם מאפשרים לאמן את שירות אבטחת המידע בזיהוי תוקפים ובתגובה אליהם בתנאי העולם האמיתי.