Хакеры могут получить права доменного администратора у 70% российских фирм, пишет РБК со ссылкой на исследование, проведенное компанией BI.ZONE («дочка» «Сбера»). Ее эксперты проверили свыше 200 средних и крупных фирм из разных отраслей.

Права администратора домена дают возможность подключиться к любому ПК компании, установить программное обеспечение, а также ограничить доступ, завести учетную запись или вообще закрыть сайт, рассказал директор блока экспертных сервисов BI.ZONE Евгений Волошин.

По его словам, чтобы получить доступ к правам доменного администратора, сетевому преступнику придется взломать учетную запись рядового сотрудника компании, использовав для этого методы социальной инженерии. Жертва получает вредоносный файл или ссылку на него. Если она скачает его, злоумышленник получит доступ к ее устройству и возможность изучать внутреннюю инфраструктуру компании. Используя различные техники перехвата трафика, а также анализируя учетные записи, которые хранятся на взломанных компьютерах, хакер постепенно захватывает новые учетные записи и таким образом расширяет свои права. В результате он может добраться до ПК, на котором хранится учетная запись доменного администратора. Службы кибербезопасности многих организаций раньше не знали о существовании таких уязвимостей, что создавало дополнительные риски.

Волошин подчеркнул, что главными причинами успеха подобных атак является недостаточный мониторинг ресурсов, которые размещены на внешнем ИТ-периметре, а также отсутствие налаженных процессов по поиску уязвимостей в ИТ-инфраструктуре.

Основатель и гендиректор Qrator Labs Александр Лямин в свою очередь добавил, что служба доменных имен обычно остается вне фокуса административных процессов многих структур, даже если говорить про достаточно большие, что в итоге приводит к возникновению угроз. Поэтому минимум в половине случаев хакеры могут получить права доменного администратора, используя уязвимости в системе.

По словам эксперта, многие фирмы изначально не встраивают управление службами доменных имен в свои процессы безопасности, чем с удовольствием пользуются сетевые преступники. Получить права администратора домена они могут в случае утечек авторизационных данных, отсутствия в системе двухфакторной авторизации и посредством социального инжиниринга. Для предприятия это грозит потерей контроля над публичными ресурсами, а также взломом и репутационным ущербом.

Директор по технологиям Infosecurity a Softline Company Никита Пинчук статистику BI.ZONE счел объективной. По его словам, ошибки фирм начинаются с создания простых паролей на сервисах и отсутствия контроля за обновлениями систем, а заканчиваются небезопасной настройкой служб Active Directory. При этом главная проблема заключается в недостаточном финансировании информационной безопасности и слабой подготовке сотрудников.

Чтобы повысить уровень защищенности, Пинчук предложил компаниям проводить аудит инфраструктуры, внедрять и настраивать защитные системы, а также реализовывать процедуры патч-менеджмента. Кроме того, придется провести обучение персонала, который обеспечивает безопасность, и всех работников по вопросам информбезопасности, потому что именно человек является «самым слабым звеном в защите».

Ранее эксперты британской компании по информационной безопасности Cyjax опубликовали исследование о фишинговой атаке на чиновников из России и нескольких других стран. Среди атакуемых организаций были Российская академия наук (РАН), почтовый сервис Mail.ru, а также государственные структуры как минимум из 10 стран.