這次調(diào)查涵蓋Positive Technologies的專家對2011年到2012年的滲透測試進行一般的統(tǒng)計數(shù)據(jù)。其中包括了外部測試和攻擊方的滲透測試。

在2011年和2012年，Positive Technologies的專家進行了超過50次滲透測試，本研究基于其中20個最具規(guī)模的測試報告結(jié)果(每年10個結(jié)果)。我們將那些受限制的主機排除，因為這些主機的測試結(jié)果無法廣泛反映目標(biāo)信息系統(tǒng)的安全級別。

這次研究涵蓋了政府和商業(yè)的主要機構(gòu)，其中包括了專業(yè)RA機構(gòu)評出的俄羅斯前400強的企業(yè)。

一、2011和2012年整體數(shù)據(jù)

最低攻擊條件(對重要資源的控制)

Positive Technologies的專家對其中75%的目標(biāo)進行測試，并獲得了管理和完全控制重要資源的權(quán)限，幾乎一半(45%)的測試結(jié)果顯示，任何外部攻擊者都可以獲得相同訪問權(quán)限。四分之一的測試顯示，位于內(nèi)部攻擊者在用戶網(wǎng)段可以對關(guān)鍵資源完全控制，并不需要任何額外的特權(quán)。

最低攻擊條件(邊界繞過)

其中一半的系統(tǒng)不需要額外的特權(quán)便可由攻擊者繞過安全邊界。每個Internet用戶都可能訪問系統(tǒng)中的外部網(wǎng)絡(luò)。在這種情況下，如果對大型國有企業(yè)公司進行未授權(quán)的滲透測試，那么意味著會造成巨大的損失，這些結(jié)果表明，俄羅斯的企業(yè)信息安全處于一個很低的水平。

部分web攻擊者獲取權(quán)限級別

84%的檢測系統(tǒng)非常容易就能通過Internet讓未經(jīng)授權(quán)的訪問者進行訪問。每3個測試結(jié)果就有一個可以將整個基礎(chǔ)設(shè)施完全控制。

部分內(nèi)部攻擊者獲得權(quán)限級別

在所有被檢測的系統(tǒng)的滲透測試中，全都允許專家進行未授權(quán)訪問資源。有67%的被檢測系統(tǒng)，無特權(quán)的內(nèi)部攻擊者連接到用戶工作段能夠得到對整個基礎(chǔ)設(shè)施的完全控制。此類攻擊者中只有8%無法提升權(quán)限，但是卻可以通過網(wǎng)絡(luò)連接到管理員段完全控制某些關(guān)鍵系統(tǒng)而且不需要額外權(quán)限。

檢測到的嚴(yán)重漏洞

檢測的系統(tǒng)中至少都存在中等嚴(yán)重級別的漏洞。80%以上的系統(tǒng)擁有高危漏洞。

檢測到的有關(guān)配置缺陷的嚴(yán)重漏洞

四分之三的系統(tǒng)中擁有與配置缺陷相關(guān)的高嚴(yán)重性等級的安全漏洞。被檢測出來的中等危害漏洞占所有系統(tǒng)漏洞中的25%。

檢測到有關(guān)更新缺陷的嚴(yán)重漏洞

65%的系統(tǒng)中被檢測出中等或高等危害的有關(guān)更新策略的漏洞。幾乎一半的系統(tǒng)中都檢測到關(guān)鍵性漏洞。

無線網(wǎng)絡(luò)安全分析

無線網(wǎng)絡(luò)分析結(jié)果如下：每四個系統(tǒng)中就有一個在使用弱WEP加密算法，這可以在短短幾分鐘之內(nèi)被爆破。

二、2011年至2012年信息安全水平動態(tài)

最低攻擊條件(完全控制關(guān)鍵資源)

我們發(fā)現(xiàn)對于專家們并沒有破解和完全控制關(guān)鍵資源的系統(tǒng)的數(shù)量，去年從20%增加到了30%。但與此同時，我們發(fā)現(xiàn)，允許外部攻擊者對關(guān)鍵資源的完全控制的系統(tǒng)有所增加。(在2012年只有一半的檢測系統(tǒng)會這樣。)

最低攻擊條件(邊界繞行)

在2012年我們發(fā)現(xiàn)允許外部攻擊中訪問外部網(wǎng)絡(luò)的系統(tǒng)數(shù)量增加(當(dāng)前值為56%)。

部分外部攻擊者獲得權(quán)限級別

在2012年，我們發(fā)現(xiàn)作為企業(yè)信息安全系統(tǒng)的一部分，外部創(chuàng)建web應(yīng)用程序的安全級別有所增加：他們使侵入者相對不易侵入到內(nèi)部網(wǎng)絡(luò)。同時，配置了合理的安全系統(tǒng)根據(jù)外部攻擊者而制定的合理的安全級別，這類系統(tǒng)數(shù)量從10%升到22%，增加了2倍。

部分內(nèi)部攻擊者獲取特權(quán)級別

由專家模擬一個外部攻擊者從用戶網(wǎng)段獲得完全控制的系統(tǒng)的數(shù)量有所減少;但在2012年，每一個這樣的系統(tǒng)都允許測試專家用這類攻擊以管理訪問權(quán)限訪問至少一個主機。

在2011年到2012年中，最普遍的漏洞：

簡單密碼

密碼策略缺陷

開放或者不安全的協(xié)議