Eksperci z Kaspersky Lab oraz Outpost24 przeprowadzili niedawno audyt bezpieczeństwa w wielu organizacjach europejskich, badając rozpowszechnienie niezałatanych luk na całym świecie, aby lepiej zrozumieć krajobraz (nie)bezpieczeństwa IT.

Raport pokazuje, że nawet niewyrafinowane ataki na sieci korporacyjne mogą zakończyć się powodzeniem bez konieczności stosowania kosztownych szkodliwych programów wykorzystujących najnowsze luki.

Cyberprzestępcy nadal powszechnie wykorzystują znane błędy w zabezpieczeniach i nie ma w tym nic dziwnego, biorąc pod uwagę fakt, że załatanie luki zajmuje przeciętnie 60-70 dni – wystarczająco dużo czasu, aby osoby atakujące uzyskały dostęp do sieci korporacyjnej. Audyt bezpieczeństwa zespołu ekspertów ujawnił również, że cyberprzestępcy nie muszą włamywać się do systemu korporacyjnego; wystarczy, że przeprowadzą ataki hakerskie na osoby zarządzające systemem.

Standardem jest łatanie wszystkich krytycznych luk w zabezpieczeniach w ciągu trzech miesięcy. Jednak 77% zagrożeń, które przekroczyły ten trzymiesięczny termin, było nadal obecne w systemie po upłynięciu roku od ich wykrycia. Zespół badawczy firmy Kaspersky Lab i Outpost24 zebrał dane dotyczące luk w zabezpieczeniach pochodzące z 2010 r. i znalazł systemy, które były narażone na ataki przez ostatnie trzy lata. Te niezałatane luki są uważane za krytyczne ze względu na łatwość, z jaką można je wykorzystać, oraz wpływ, jaki mogą mieć na systemy operacyjne. Co ciekawe, niektóre systemy korporacyjne pozostawały niezałatane przez dziesięć lat, mimo że firmy płaciły za specjalną usługę monitorowania ich bezpieczeństwa.

Po zgromadzeniu danych wraz z zespołem Outpost24 David Jacoby – starszy specjalista ds. bezpieczeństwa z Kaspersky Lab – postanowił przeprowadzić eksperyment socjotechniczny, aby sprawdzić, jak łatwo można wpiąć pamięć USB do komputerów w instytucjach rządowych, hotelach i prywatnych firmach. Ubrany w garnitur i uzbrojony w pamięć USB zawierającą jedynie jego życiorys w formacie PDF, David zapytał personel w recepcji w 11 organizacjach, czy mógłby pomóc mu wydrukować dokument na umówione spotkanie w zupełnie niepowiązanym miejscu.

Grupa poddana audytowi bezpieczeństwa objęła trzy hotele z różnych sieci, sześć organizacji rządowych oraz dwie duże prywatne firmy. Na komputerach znajdujących się w organizacjach rządowych przechowywane są zwykle poufne informacje dotyczące obywateli, podczas gdy maszyny zlokalizowane w największych prywatnych firmach najprawdopodobniej zawierają połączenia sieciowe z innymi firmami, natomiast pięciogwiazdkowe hotele to miejsca, w których zatrzymują się podczas podróży dyplomaci, politycy i dyrektorzy najwyższego szczebla.

Tylko jeden hotel zgodził się podłączyć urządzenie Davida do swojego komputera; pozostałe dwa odmówiły. Firmy prywatne również odrzuciły jego prośbę. Jednak z sześciu odwiedzonych organizacji rządowych aż cztery pomogły Davidowi, wpinając jego pamięć USB do komputera. W dwóch przypadkach port USB był zablokowany, więc personel poprosił go, aby wysłał plik za pośrednictwem poczty e-mail.

„Zaskakujący jest fakt, że hotele i prywatne firmy wykazywały większą świadomość i posiadały lepsze standardy bezpieczeństwa niż organizacje rządowe. Na podstawie tego bezpośredniego doświadczenia można stwierdzić, że rzeczywiście istnieje problem. Przeprowadzony przez nas audyt bezpieczeństwa można odnieść do każdego kraju, ponieważ czas, jaki upływa od wykrycia luki w zabezpieczeniach do załatania jej, istnieje wszędzie, w każdym kraju. Wynik mojego eksperymentu z pamięcią USB to również sygnał alarmowy pokazujący, że wdrożenie nowoczesnego rozwiązania bezpieczeństwa to nie wszystko – równie istotne znaczenie ma poinstruowanie personelu, że należy zachować rozwagę” – powiedział David Jacoby, starszy specjalista ds. bezpieczeństwa, Globalny zespół ds. badań i analiz (GReAT), Kaspersky Lab.

„Smutne jest to, że firmy tracą cenne zasoby na ochronę przed potencjalnymi zagrożeniami przyszłości, podczas gdy nadal nie potrafią poradzić sobie z obecnymi i starymi rodzajami ataków” – powiedział Martin Jartelius, główny specjalista ds. bezpieczeństwa w Outpost24. „Czy problemem jest stosowanie nieodpowiednich praktyk bezpieczeństwa, źle skonfigurowane aplikacje czy personel, któremu brakuje szkolenia z zakresu bezpieczeństwa, firmy powinny mieć świadomość, że można przejąć kontrolę nad większą częścią organizacji nawet bez stosowania nowych i wyrafinowanych metod. Dlatego istotna jest zmiana podejścia do bezpieczeństwa – zrezygnowanie z samodzielnych narzędzi na rzecz zintegrowanych rozwiązań w ramach procesów biznesowych”.

Pełny raport z audytu bezpieczeństwa przeprowadzonego przez Kaspersky Lab i Outpost24 jest dostępny na stronie http://www.securelist.com/en/downloads/vlpdfs/exposing_the_security_weaknesses_we_tend_to_overlook.pdf.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.