Как следует из отчета пентестеров,
🔴 63% организаций могут взломать начинающие хакеры.
🔴 96% организаций открыты для профессиональных хакеров.
🔴 21% проверенных организаций имеют явные следы пребывания хакеров, то есть были взломаны неоднократно.
🟢 7% организаций имеют высокий уровень защищенности.
Основными причинами успешного проникновения во внутреннюю сеть стали
♦️ недостатки парольной политики,
♦️ уязвимости в коде веб-приложений и
♦️ недостатки конфигурации сервисов, находящиеся на периметре сети (например, VPN, Citrix).
🔴 Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей. Включите вы MFA когда-нибудь или нет? )
💥 Какие системы были атакованы чаще всего и соответственно стоит проверить у всех в первую очередь:
CMS - управлет контентом вашего сайта
Почтовый сервер - всегда доступен снаружи
PMS - управление проектами
Видеоконференции - тоже доступны снаружи
Почти в каждом пентесте выявляется уязвимость PetitPotam, которая помогает стать администратром домена Active Directory. Как защититься описано в KB5005413 у Microsoft.
Для повышения привилегий используются атаки, которые вы найдете по ключевым словам DCSync, LSA Secrets, LSASS memory, NTDS.dit.
В итоге, чем больше компаний перестанет пользоваться Microsoft Active Directory, тем защищенней они будут.
🔴 Какие пароли пользователей встречаются на пентестах?
Да все те же, что последние 30 лет существования компьютеров:
12345678,
Qwerty123,
Aa12345678,
123qweASD,
123456,
123,
111111,
НазваниеКомпании2022,
пароли по-умолчанию.
Людей изменить нельзя, поэтому включите двухфакторную аутентификацию, чтобы снизить риск кражи и подбора пароля.
🛡 Обновите свои системы сегодня
На скриншоте приведен список уязвимостей, которые чаще всего использовались пентестерами. Для этих уязвимостей уже много лет есть обновления, но они до сих пор у компаний не установлены.
Установите патчи, пожалуйста. Сегодня!
Полный отчет тут
Услугами пентестеров пользуются компании на высоком уровне зрелости. Множество компаний просто не знают свой уровень защиенности. И можно только гадать как у них обстоят дела.