Самоизоляция утроила число уязвимых ПК в России

C начала апреля по конец мая 2020 года число уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP) компьютеров в России выросло на 230% до 101 000 устройств.

Такие данные приводит компания DeviceLock. Столь быстрый рост связан с тем, что во время самоизоляции выросло число серверов, в том числе открытых для интернета, поясняет основатель и технический директор DeviceLock Ашот Оганесян.

Несмотря на то, что большинство компаний, организующих удаленный доступ для своих сотрудников, разрешают подключение только через VPN, протоколы тоже имеют уязвимости.

«По данным DeviceLock, в результате массового перехода на удаленную работу в апреле-мае 2020 года число попыток неправомерного доступа к данным увеличилось примерно наполовину. Около 60% таких попыток – действия, которые можно отнести к ошибкам пользователей, возникающим в результате неумения взаимодействовать с системами удаленного доступа к корпоративным данным. Еще около 30% инцидентов – явно противоправные попытки скопировать клиентские базы данных и передать их вовне, в том числе, через мессенджеры. Оставшиеся 10% – действия хакеров, пытающихся найти доступ к корпоративной информационной среде через домашний компьютер или прямое RDP-подключение к серверам компании из интернета», – поясняет основатель и технический директор DeviceLock Ашот Оганесян.

Открытые в интернет RDP-порты позволяют используя логин и пароль пользователя подключиться в терминальном режиме к серверу или его собственному компьютеру и через него получить доступ к корпоративной сети, чтобы совершить кражу данных или заразить компьютеры компании вирусами-вымогателями.

При этом логин пользователя может быть известен (чаще всего, это корпоративный e-mail), а пароль подобран с использованием специального словаря. У небольшой доли терминальных серверов в силу неправильной настройки разрешена авторизация вообще без пароля. Могут также использоваться уязвимости в программном обеспечении. 

Кроме того, в Positive Technologies отметили, что почти половина всех действий хакеров может не отличаться от обычной деятельности пользователей и администраторов, а в большинстве компаний контроль над инфраструктурой может получить даже низкоквалифицированный хакер.

Согласно отчету компании, в 2019 году во всех протестированных компаниях удалось получить полный контроль над инфраструктурой от лица внутреннего нарушителя. Как правило, на это уходило около трех дней, а в одной сети потребовалось всего 10 минут. В 61% компаний был выявлен хотя бы один простой способ получить контроль над инфраструктурой.

«Для каждой компании перечень рисков будет отличаться, хотя есть и общие пункты, например компрометация критически важной информации в случае доступа к рабочим станциям руководства. В ходе проведения внутренних пентестов нашим экспертам удавалось, например, получить доступ к технологическим сетям промышленных компаний и системам управления банкоматами в банках, то есть показать на практике возможность осуществить атаку, которая представляет реальную опасность для компании. Тестирование на проникновение с проверкой возможности реализации бизнес-рисков позволяет максимально эффективно выстроить систему защиты», – сказала руководитель исследовательской группы отдела аналитики Positive Technologies Екатерина Килюшева.