信息化觀察網(wǎng)

滲透測(cè)試人員存在共同的安全缺陷，使公司容易受到攻擊。黑客可以在短短30分鐘內(nèi)利用兩次安全漏洞來訪問公司的內(nèi)部網(wǎng)絡(luò)。

Positive Technologies的道德黑客和網(wǎng)絡(luò)安全研究人員對(duì)各個(gè)領(lǐng)域的組織進(jìn)行了滲透測(cè)試，但發(fā)現(xiàn)了所有行業(yè)中常見的安全漏洞。新報(bào)告“企業(yè)信息系統(tǒng)的滲透測(cè)試”中詳細(xì)介紹了這些發(fā)現(xiàn)。

該報(bào)告基于對(duì)真實(shí)組織進(jìn)行網(wǎng)絡(luò)測(cè)試的匿名數(shù)據(jù)，該報(bào)告說，對(duì)于71％的公司來說，至少存在一個(gè)明顯的弱點(diǎn)，可能會(huì)為惡意的外部人員提供進(jìn)入網(wǎng)絡(luò)的機(jī)會(huì)。

最常見的安全問題之一是弱密碼，使黑客可以使用蠻力攻擊來訪問帳戶。破解一個(gè)帳戶的密碼不足以完全獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限，但是在許多情況下，只需這樣做，就可以利用已知漏洞來進(jìn)一步訪問系統(tǒng)。

“即使對(duì)于大型組織來說，問題也在于保護(hù)水平低。攻擊媒介主要基于利用已知的安全漏洞。這意味著公司未遵循基本的信息安全規(guī)則，”

除了弱密碼之外，超過三分之二的組織正在使用易受攻擊的軟件版本，該軟件尚未收到所需的安全更新，因此容易被利用。

Kilyusheva解釋說：“如果Web應(yīng)用程序包含存在被公共利用的漏洞，則攻擊者可以快速訪問內(nèi)部網(wǎng)絡(luò)。”

例如，在某些情況下，道德黑客將使用蠻力攻擊來訪問遠(yuǎn)程桌面應(yīng)用程序-由于2020年在家工作的增加，這種方式變得越來越普遍。

用戶沒有訪問許多應(yīng)用程序的權(quán)限，但是通過打開映射應(yīng)用程序，安全測(cè)試人員可以訪問Windows資源管理器進(jìn)程和命令行，從而能夠在操作系統(tǒng)上執(zhí)行命令并獲得更多訪問權(quán)限。

在滲透練習(xí)的三分之一中，研究人員能夠通過結(jié)合暴力破解和軟件漏洞來訪問公司網(wǎng)絡(luò)的內(nèi)部。在這種情況下，可以通過確保使用強(qiáng)密碼和所應(yīng)用的任何應(yīng)用程序都已應(yīng)用安全補(bǔ)丁來防止攻擊，因此不能在攻擊中利用它們。

在這些示例中，作為安全測(cè)試的一部分，道德黑客正在訪問這些網(wǎng)絡(luò)，但是網(wǎng)絡(luò)罪犯正在尋求利用這些漏洞，并可以使用它們來訪問大量公司網(wǎng)絡(luò)。

道德黑客進(jìn)入內(nèi)部網(wǎng)絡(luò)所需的平均時(shí)間為四天，但在一種情況下，只需30分鐘就可以完成。

“攻擊者可以對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)（例如金融系統(tǒng)）進(jìn)行攻擊，獲得對(duì)最高管理者計(jì)算機(jī)的訪問權(quán)，或者對(duì)公司的客戶或合作伙伴進(jìn)行攻擊。此外，黑客可以在暗網(wǎng)上將獲得的訪問權(quán)出售給其他犯罪分子進(jìn)行攻擊-例如勒索軟件，” Kilyusheva說。

但是，通過遵循一些常見的安全性程序（例如不使用弱密碼），應(yīng)用多因素身份驗(yàn)證以確保用軟件更新修補(bǔ)網(wǎng)絡(luò)，組織可以保護(hù)自己免受多種形式的網(wǎng)絡(luò)攻擊。