2011年—2012年滲透測試調(diào)查

作者：佚名 2013-07-16 10:40:21

在2011年和2012年，Positive Technologies的專家進(jìn)行了超過50次滲透測試，本研究基于其中20個(gè)最具規(guī)模的測試報(bào)告結(jié)果(每年10個(gè)結(jié)果)。我們將那些受限制的主機(jī)排除，因?yàn)檫@些主機(jī)的測試結(jié)果無法廣泛反映目標(biāo)信息系統(tǒng)的安全級(jí)別。

這次調(diào)查涵蓋Positive Technologies的專家對(duì)2011年到2012年的滲透測試進(jìn)行一般的統(tǒng)計(jì)數(shù)據(jù)。其中包括了外部測試和攻擊方的滲透測試。

這次研究涵蓋了政府和商業(yè)的主要機(jī)構(gòu)，其中包括了專業(yè)RA機(jī)構(gòu)評(píng)出的俄羅斯前400強(qiáng)的企業(yè)。

一、2011和2012年整體數(shù)據(jù)

最低攻擊條件(對(duì)重要資源的控制)

Positive Technologies的專家對(duì)其中75%的目標(biāo)進(jìn)行測試，并獲得了管理和完全控制重要資源的權(quán)限，幾乎一半(45%)的測試結(jié)果顯示，任何外部攻擊者都可以獲得相同訪問權(quán)限。四分之一的測試顯示，位于內(nèi)部攻擊者在用戶網(wǎng)段可以對(duì)關(guān)鍵資源完全控制，并不需要任何額外的特權(quán)。

最低攻擊條件(邊界繞過)

其中一半的系統(tǒng)不需要額外的特權(quán)便可由攻擊者繞過安全邊界。每個(gè)Internet用戶都可能訪問系統(tǒng)中的外部網(wǎng)絡(luò)。在這種情況下，如果對(duì)大型國有企業(yè)公司進(jìn)行未授權(quán)的滲透測試，那么意味著會(huì)造成巨大的損失，這些結(jié)果表明，俄羅斯的企業(yè)信息安全處于一個(gè)很低的水平。

部分web攻擊者獲取權(quán)限級(jí)別

84%的檢測系統(tǒng)非常容易就能通過Internet讓未經(jīng)授權(quán)的訪問者進(jìn)行訪問。每3個(gè)測試結(jié)果就有一個(gè)可以將整個(gè)基礎(chǔ)設(shè)施完全控制。

部分內(nèi)部攻擊者獲得權(quán)限級(jí)別

在所有被檢測的系統(tǒng)的滲透測試中，全都允許專家進(jìn)行未授權(quán)訪問資源。有67%的被檢測系統(tǒng)，無特權(quán)的內(nèi)部攻擊者連接到用戶工作段能夠得到對(duì)整個(gè)基礎(chǔ)設(shè)施的完全控制。此類攻擊者中只有8%無法提升權(quán)限，但是卻可以通過網(wǎng)絡(luò)連接到管理員段完全控制某些關(guān)鍵系統(tǒng)而且不需要額外權(quán)限。

檢測到的嚴(yán)重漏洞

檢測的系統(tǒng)中至少都存在中等嚴(yán)重級(jí)別的漏洞。80%以上的系統(tǒng)擁有高危漏洞。

檢測到的有關(guān)配置缺陷的嚴(yán)重漏洞

四分之三的系統(tǒng)中擁有與配置缺陷相關(guān)的高嚴(yán)重性等級(jí)的安全漏洞。被檢測出來的中等危害漏洞占所有系統(tǒng)漏洞中的25%。

檢測到有關(guān)更新缺陷的嚴(yán)重漏洞

65%的系統(tǒng)中被檢測出中等或高等危害的有關(guān)更新策略的漏洞。幾乎一半的系統(tǒng)中都檢測到關(guān)鍵性漏洞。

無線網(wǎng)絡(luò)安全分析

無線網(wǎng)絡(luò)分析結(jié)果如下：每四個(gè)系統(tǒng)中就有一個(gè)在使用弱WEP加密算法，這可以在短短幾分鐘之內(nèi)被爆破。

二、2011年至2012年信息安全水平動(dòng)態(tài)

最低攻擊條件(完全控制關(guān)鍵資源)

我們發(fā)現(xiàn)對(duì)于專家們并沒有破解和完全控制關(guān)鍵資源的系統(tǒng)的數(shù)量，去年從20%增加到了30%。但與此同時(shí)，我們發(fā)現(xiàn)，允許外部攻擊者對(duì)關(guān)鍵資源的完全控制的系統(tǒng)有所增加。(在2012年只有一半的檢測系統(tǒng)會(huì)這樣。)

最低攻擊條件(邊界繞行)

在2012年我們發(fā)現(xiàn)允許外部攻擊中訪問外部網(wǎng)絡(luò)的系統(tǒng)數(shù)量增加(當(dāng)前值為56%)。

部分外部攻擊者獲得權(quán)限級(jí)別

在2012年，我們發(fā)現(xiàn)作為企業(yè)信息安全系統(tǒng)的一部分，外部創(chuàng)建web應(yīng)用程序的安全級(jí)別有所增加：他們使侵入者相對(duì)不易侵入到內(nèi)部網(wǎng)絡(luò)。同時(shí)，配置了合理的安全系統(tǒng)根據(jù)外部攻擊者而制定的合理的安全級(jí)別，這類系統(tǒng)數(shù)量從10%升到22%，增加了2倍。