Две трети хостов уязвимы для кибератак из‑за неправильных настроек

Чаще всего встречаются различные нарушения парольной политики. Небезопасная парольная политика стала причиной 35% высококритичных киберинцидентов в 2024 году

26 декабря 2024 г.

Специалисты BI.ZONE EDR проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 000 хостов — серверов и рабочих станций. 66% исследованных хостов имеют как минимум одну опасную мисконфигурацию, то есть ошибку в настройке программ или доступа, которая с высокой вероятностью может привести к успешной кибератаке.

1. Нарушение парольной политики — самая распространенная категория мисконфигураций.

На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика. Вместо нее применяется политика по умолчанию, которая подразумевает использование паролей длиной всего лишь 4 символа. Такие пароли ненадежны: чтобы обеспечивать безопасность, пароль должен включать не менее 8, а лучше 10–12 символов.

61% Linux‑хостов не имеет установленного пароля для загрузчика операционной системы GRUB. Такая ошибка дает злоумышленнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учетных записей и таким образом получить контроль над системой.

Почти у трети Windows‑хостов (29%) отключено управление паролями локальных администраторов (LAPS). Этот инструмент позволяет генерировать уникальный и надежный пароль администратора для каждого компьютера домена. Пароль автоматически меняется через определенный период, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что злоумышленники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата других устройств в сети.

Вопреки распространенному стереотипу, слабый пароль не самая частая ошибка: она встречается у 1% локальных пользователей на Windows и у 5% — на Linux. При этом такая мисконфигурация — одна из самых опасных: компрометация даже одного хоста с помощью подобранного пароля может облегчить распространение ВПО или продвижение злоумышленника по корпоративной инфраструктуре вплоть до установления полного контроля над ней.

По данным BI.ZONE, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, были связаны именно с небезопасной парольной политикой для административных учетных записей.

Демьян Соколин

Руководитель направления развития BI.ZONE EDR

2. До трети системных администраторов жертвуют безопасностью ради временного удобства.

Зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу.

Так, на 37% исследованных Windows‑хостов была отключена защита LSA. Эта мисконфигурация позволяет злоумышленникам получить доступ к учетным данным, хранящимся в памяти процессов.

Еще в 36% случаев на Windows‑хостах не настроена подпись SMB‑пакетов, отвечающих за удаленный доступ к файлам, устройствам и другим сетевым ресурсам. В случае атаки киберпреступники могут перехватить неподписанные SMB‑пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows‑хостов используется устаревший протокол SMBv1. Он содержит ряд уязвимостей, которые могут быть проэксплуатированы злоумышленниками для получения полного доступа к интересующим их системам.

Кроме того, на 13% Windows‑хостов было отключено обновление компонентов операционной системы. Использование устаревших версий программ представляет угрозу, поскольку в них регулярно выявляют уязвимости, которые могут быть исправлены только с помощью обновлений.

3. В четверти случаев авторизация на удаленном сервере выполняется с нарушением правил безопасности.

Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в рамках этого протокола считается аутентификация по специально сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю.

Такие хосты часто бывают доступны через интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность успешных брутфорс‑атак, то есть атак с помощью перебора паролей. Чтобы минимизировать этот риск, рекомендуется применять SSH‑аутентификацию по ключу.