Согласно исследованию, 66% хостов имеют хотя бы одну конфигурационную ошибку, которая повышает риск успешной атаки. Например, 35% крупных киберинцидентов в 2024 году были связаны с уязвимостью в политике паролей. Специалисты BI.ZONE провели анализ данных 150 российских компаний из разных секторов экономики, охватив почти 300 тысяч хостов (сервера и рабочие станции).
В ходе анализа выяснилось, что 65% хостов с операционной системой macOS не имеют настроенной парольной политики, на 61% хостов с Linux не установлен пароль для загрузчика операционной системы GRUB, а 29% Windows-хостов имеют отключенное управление паролями локальных администраторов (LAPS).
35% серьёзных киберинцидентов, произошедших в российских компаниях с начала 2024 года, были связаны с недостаточной безопасностью паролей для административных учётных записей.
Руководитель направления развития BI.ZONE EDR Демьян Соколин поясняет:
«Вопреки распространенному стереотипу, слабый пароль не самая частая ошибка: она встречается у 1% локальных пользователей на Windows и у 5% — на Linux. При этом такая мисконфигурация — одна из самых опасных: компрометация даже одного хоста с помощью подобранного пароля может облегчить распространение ВПО или продвижение злоумышленника по корпоративной инфраструктуре вплоть до установления полного контроля над ней. По данным BI.ZONE, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, были связаны именно с небезопасной парольной политикой для административных учетных записей».
На 37% исследованных Windows-хостов была деактивирована защита LSA, а на 36% — не настроена подпись SMB-пакетов, которые обеспечивают удалённый доступ к файлам, устройствам и другим сетевым ресурсам. На 4% хостов используется устаревший протокол SMBv1, а на 13% — отключено обновление компонентов операционной системы.
В 25% случаев авторизация на удалённых серверах осуществляется с нарушением требований безопасности. Для безопасного подключения к удалённым системам с macOS и Linux используется протокол SSH, и наиболее безопасной считается аутентификация с помощью сгенерированного ключа. Однако на каждом четвёртом устройстве аутентификация по ключу отключена, и вместо неё разрешён вход с использованием пароля.
В ходе анализа выяснилось, что 65% хостов с операционной системой macOS не имеют настроенной парольной политики, на 61% хостов с Linux не установлен пароль для загрузчика операционной системы GRUB, а 29% Windows-хостов имеют отключенное управление паролями локальных администраторов (LAPS).
35% серьёзных киберинцидентов, произошедших в российских компаниях с начала 2024 года, были связаны с недостаточной безопасностью паролей для административных учётных записей.
Руководитель направления развития BI.ZONE EDR Демьян Соколин поясняет:
«Вопреки распространенному стереотипу, слабый пароль не самая частая ошибка: она встречается у 1% локальных пользователей на Windows и у 5% — на Linux. При этом такая мисконфигурация — одна из самых опасных: компрометация даже одного хоста с помощью подобранного пароля может облегчить распространение ВПО или продвижение злоумышленника по корпоративной инфраструктуре вплоть до установления полного контроля над ней. По данным BI.ZONE, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 года, были связаны именно с небезопасной парольной политикой для административных учетных записей».
На 37% исследованных Windows-хостов была деактивирована защита LSA, а на 36% — не настроена подпись SMB-пакетов, которые обеспечивают удалённый доступ к файлам, устройствам и другим сетевым ресурсам. На 4% хостов используется устаревший протокол SMBv1, а на 13% — отключено обновление компонентов операционной системы.
В 25% случаев авторизация на удалённых серверах осуществляется с нарушением требований безопасности. Для безопасного подключения к удалённым системам с macOS и Linux используется протокол SSH, и наиболее безопасной считается аутентификация с помощью сгенерированного ключа. Однако на каждом четвёртом устройстве аутентификация по ключу отключена, и вместо неё разрешён вход с использованием пароля.
