Эксперты компании «Ростелеком-Солар» выяснили, что сотрудники почти 80 процентов компаний не соблюдают базовых правил парольной защиты. При этом практически в каждой тестируемой корпоративной сети специалистам по анализу защищённости удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно атаковать компанию и в итоге, скорее всего, успешно похитить деньги или конфиденциальную информацию.
В основу исследования «Ростелеком-Солар» легли данные, которые сотрудники получили во время киберучений, тестов на проникновение в системы и анализа защищённости заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария: специалисты должны были проникнуть в корпоративную сеть извне, а также имитировать действий внутреннего нарушителя. Самой распространённой ошибкой, которую они выявили, оказались пароли. Сотрудники устанавливали по умолчанию слабые и легко подбираемые пароли пользовательских учётных записей, например, «admin/admin», «admin/12345», а также не блокировали работу учётных записей пользователей, что позволяет проводить атаки на подбор паролей.
Основной недостаток, обнаруженный при внутреннем тестировании на проникновение, — сотрудники использовали одинаковые пароли учётных записей с различными правами. В частности, в целях безопасности системным администраторам, как правило, выдавали две учётные записи: пользовательскую, в которой они работали по умолчанию, и привилегированную административную, которую можно было использовать по мере необходимости. Но сотрудники могли в обоих случаях ставить одинаковые пароли. Подобные недостатки эксперты «Ростелеком-Солар» обнаружили в большинстве исследуемых корпоративных сетей.
Ещё одна распространённая ошибка — хранение учётных данных на общедоступных ресурсах в корпоративной сети или на самих компьютерах. В такой ситуации даже случайное попадание вредоносных программ на ПК одного сотрудника становится критической угрозой безопасности всей организации. Если злоумышленник попадает на машину пользователя и находит нужный документ, он моментально получает управление привилегированными учётными записями, проникая вглубь компании.
В части организаций выявили недостатки в создании паролей для корпоративных учётных записей. В частности, от сотрудников не требовали придумывать длинные пароли и включать в них специальные символы — строчные и прописные буквы, цифры, знаки. Ещё не всегда рационально была продумана смена паролей: в некоторых компаниях этого вообще не требовали, а в других — наоборот, сотрудники должны были их менять каждый месяц, что обычно вынуждало периодически использовать слишком простые сочетания символов и записывать их на ненадёжных носителях.
— Основная причина, которая ведёт к подобным недостаткам — это человеческий фактор. Сотрудники компаний часто обладают недостаточной киберграмотностью и в результате стараются либо упростить пароли, либо хранят их в открытом доступе: в файле на компьютере или на стикере рядом с монитором. С другой стороны, сами системные администраторы порой недостаточно следят за тем, как хранятся учётные данные, или допускают создание пользователями слабых паролей. Нередко при заведении новых учётных записей в них по умолчанию устанавливается простой дефолтный пароль, который потом долго не меняют, — объясняет руководитель отдела анализа защищённости компании «Ростелеком-Солар» Александр Колесов.
Решить проблему, по мнению экспертов компании, можно если ввести двухфакторную аутентификацию пользователей. Но сейчас из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом будет обучить сотрудников основам кибергигиены: объяснить им, как придумывать надёжные пароли, и рассказать, где их можно хранить, в том числе в специальных базах и программах.
В проекте «Техника Б/Удущего» мы уже раскрывали восемь (не)секретов виртуальной безопасности и проверяли, смогут ли наши читатели придумать надёжный пароль, который не взломают мошенники. Также мы подготовили тест-игру, в которой желающим необходимо собрать идеальный пароль, следуя подсказкам, и спасти город от зомби-апокалипсиса.