Две трети хостов (66%) - серверов и рабочих станций - в российских компаниях имеют как минимум одну рискованную мисконфигурацию, т. е. ошибку в настройке программ или доступа, выяснили профессионалы Bi.Zone, которые проанализировали кейсы более 150 организаций из разных отраслей, собрав данные почти с 300 тыс. хостов.
Нарушения парольной политики - самая распространенная категория мисконфигураций. На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика, повелевают эксперты. Вместо нее применяется политика по умолчанию, которая подразумевает использование паролей длиной всего лишь четыре символа. «Такие пароли ненадежны: чтобы обеспечивать безопасность, пароль обязан включать не менее восьми, а лучше 10–12 символов», - подчеркивают эксперты.
«Лаборатория Касперского»: меньше чем в половине компаний дерутся угрозами на основании ИИ
61% Linux-хостов не имеет установленного пароля для загрузчика операционной системы GRUB. Такая ошибка дает преступнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учетных записей и таким образом получить контроль над системой.
Почти у трети Windows-хостов (29%) отключено управление паролями локальных администраторов (LAPS). Этот инструмент позволяет генерировать уникальный и надежный пароль администратора для каждого компьютера домена. Пароль автоматически меняется через определенный период времени, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что преступники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата иных устройств в сети, предостерегают эксперты.
Специалисты также обращают внимание на то, что зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу.
Так, на 37% исследованных Windows-хостов была отключена защита LSA. Эта мисконфигурация позволяет злодеям получить доступ к учетным данным, хранящимся перебирать в душе процессов.
Еще в 36% случаев на Windows-хостах не настроена подпись SMB-пакетов, отвечающих за удаленный доступ к файлам, устройствам и прочим сетевым ресурсам. В случае атаки киберпреступники могут перехватить неподписанные SMB-пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows-хостов используется устаревший протокол SMBv1. Он содержит ряд уязвимостей, которые могут являться проэксплуатированы злодеями для получения полного доступа к интересующим их системам.
Кроме того, на 13% Windows-хостов было отключено обновление компонентов операционной системы. Использование устаревших версий программ представляет угрозу, поскольку внутри них регулярно выявляют уязвимости, которые могут являться исправлены только за счет обновлений.
Наконец, в четверти случаев авторизация на удаленном сервере выполняется с нарушением правил безопасности.
Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в масштабах этого протокола считается аутентификация по умышленно сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю.
Такие хосты неоднократно посещают доступны через интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность удачных брутфорс-атак, то бишь атак за счет перебора паролей. Чтобы минимизировать данный риск, эксперты советует применять SSH-аутентификацию по ключу.
Фото: Adobe Stock