Zaniedbanie podstaw bezpieczeństwa to otwarte drzwi dla cyberprzestępców
Eksperci z Kaspersky Lab oraz Outpost24 przeprowadzili niedawno audyt bezpieczeństwa w wielu organizacjach europejskich, badając rozpowszechnienie niezałatanych luk na całym świecie, aby lepiej zrozumieć krajobraz (nie)bezpieczeństwa IT. Raport pokazuje, że nawet niewyrafinowane ataki na sieci korporacyjne mogą zakończyć się powodzeniem bez konieczności stosowania kosztownych szkodliwych programów wykorzystujących najnowsze luki.
Cyberprzestępcy nadal powszechnie wykorzystują znane błędy w zabezpieczeniach i nie ma w tym nic dziwnego, biorąc pod uwagę fakt, że załatanie luki zajmuje przeciętnie 60-70 dni – wystarczająco dużo czasu, aby osoby atakujące uzyskały dostęp do sieci korporacyjnej. Audyt bezpieczeństwa zespołu ekspertów ujawnił również, że cyberprzestępcy nie muszą włamywać się do systemu korporacyjnego; wystarczy, że przeprowadzą ataki hakerskie na osoby zarządzające systemem.
Standardem jest łatanie wszystkich krytycznych luk w zabezpieczeniach w ciągu trzech miesięcy. Jednak 77% zagrożeń, które przekroczyły ten trzymiesięczny termin, było nadal obecne w systemie po upłynięciu roku od ich wykrycia. Zespół badawczy firmy Kaspersky Lab i Outpost24 zebrał dane dotyczące luk w zabezpieczeniach pochodzące z 2010 r. i znalazł systemy, które były narażone na ataki przez ostatnie trzy lata. Te niezałatane luki są uważane za krytyczne ze względu na łatwość, z jaką można je wykorzystać, oraz wpływ, jaki mogą mieć na systemy operacyjne. Co ciekawe, niektóre systemy korporacyjne pozostawały niezałatane przez dziesięć lat, mimo że firmy płaciły za specjalną usługę monitorowania ich bezpieczeństwa.
Po zgromadzeniu danych wraz z zespołem Outpost24 David Jacoby - starszy specjalista ds. bezpieczeństwa z Kaspersky Lab - postanowił przeprowadzić eksperyment socjotechniczny, aby sprawdzić, jak łatwo można wpiąć pamięć USB do komputerów w instytucjach rządowych, hotelach i prywatnych firmach. Ubrany w garnitur i uzbrojony w pamięć USB zawierającą jedynie jego życiorys w formacie PDF, David zapytał personel w recepcji w 11 organizacjach, czy mógłby pomóc mu wydrukować dokument na umówione spotkanie w zupełnie niepowiązanym miejscu.
Grupa poddana audytowi bezpieczeństwa objęła trzy hotele z różnych sieci, sześć organizacji rządowych oraz dwie duże prywatne firmy. Na komputerach znajdujących się w organizacjach rządowych przechowywane są zwykle poufne informacje dotyczące obywateli, podczas gdy maszyny zlokalizowane w największych prywatnych firmach najprawdopodobniej zawierają połączenia sieciowe z innymi firmami, natomiast pięciogwiazdkowe hotele to miejsca, w których zatrzymują się podczas podróży dyplomaci, politycy i dyrektorzy najwyższego szczebla.
Tylko jeden hotel zgodził się podłączyć urządzenie Davida do swojego komputera; pozostałe dwa odmówiły. Firmy prywatne również odrzuciły jego prośbę. Jednak z sześciu odwiedzonych organizacji rządowych aż cztery pomogły Davidowi, wpinając jego pamięć USB do komputera. W dwóch przypadkach port USB był zablokowany, więc personel poprosił go, aby wysłał plik za pośrednictwem poczty e-mail.
- Zaskakujący jest fakt, że hotele i prywatne firmy wykazywały większą świadomość i posiadały lepsze standardy bezpieczeństwa niż organizacje rządowe. Na podstawie tego bezpośredniego doświadczenia można stwierdzić, że rzeczywiście istnieje problem. - powiedział David Jacoby, starszy specjalista ds. bezpieczeństwa, Globalny zespół ds. badań i analiz (GReAT), Kaspersky Lab.
