I en rapport som publiceras idag sammanfatta dess penetrationstester verksamhet för år 2018, en cyber-bevakningsföretag Positiva Teknik hävdade att dess forskare brutit mot yttre omkrets och fått tillgång till företagens interna nätverk i 92 procent av alla anal tester som genomfördes under föregående år.
Företaget sätter de flesta av dessa framgångsrika tester på sårbarheter i källkoden av externt mot webbapplikationer, som bedöms vara den mest utsatta komponenten i företagens IT-infrastruktur.
Det sägs att dåliga skydd av dessa web-resurser som stod för 75 procent av alla anal vektorer dess experter som finns och som används för att få tillgång till de testade företagens interna nätverk.
Vidare, vid hälften av företagen att de brutit mot nätverket omkrets och eskalerade tillgång till ett internt nätverk i bara ett steg.
När du är inne i företagens nätverk, pentesters hade inga problem med eskalerande tillgång till andra interna datorer och servrar, och i vissa fall även fått tillgång till viktiga resurser som ICS utrustning, SWIFT-system för överföring av pengar och en BANKOMAT kontroller.
För att lyfta tillgång och samtidigt på ett företags interna nät, Positiva Teknik sagt sitt experter används för grundläggande tekniker som brute-tvinga-konto lösenord, som utnyttjar gamla sårbarheter i unpatched system, social ingenjörskonst såsom phishing, och sårbarheter i Wi-fi-nätverk.
Men sårbarheter i WiFi-nätverk har också fungerat som en vektor för att bryta mot företag från utsidan, inte bara ökande tillgång på insidan.
“På 87 procent av testade kunder, Wi-Fi-nätverk var åtkomliga från utsidan av kundernas lokaler, till exempel från en närliggande cafe, parkering, eller allmänna väntrummet,” som är tekniskt avslöjade ett företags interna nätverk till någon i närheten angripare.
“Om 63 procent av system, svag Wi-Fi-säkerhet aktiverat åtkomst till resurser på det lokala nätverket,” sade företaget i dag i sin rapport. Av svaga Wi-Fi-säkerhet, forskare hänvisar till företag som misslyckats med att kryptera wi-fi trådlöst Lan trafik eller genomföras wi-fi trådlöst Lan-autentisering med hjälp av svag protokoll som WPA2/PSK-eller WPA-EAP.
Men inget företag hade perfekt försvar. Så även om de används brandväggar för att skydda web-applikationer, stark wi-fi trådlöst Lan-autentisering, starka och unika lösenord som är resistenta mot brute-force attacker, eller om de utbildade anställda att känna igen phishing e-post, det var alltid problem med okorrigerad system som lämnat minst en dörr öppen för angripare.
Till exempel, Positiva Teknik som säger att den äldsta sårbarhet som de hittade i ett företags IT-infrastruktur var 19-år-gammal-CVE-1999-0024, en brist som påverkar BIND, ett allmänt används DNS-server programvara.
Mer information finns i Positiva Technologies rapport som sammanställdes följande anal tester som utförts av säkerhet forskare från Positiva Teknik vid 33 företag som är verksamma inom industri -, finans -, och transport vertikaler.
Mer trygghet:
Digital sign system accepteras hacker tillgång till genom standard passwordsDetails publiceras om sårbarheter i populära bygga tillgång systemScammer grupper utnyttjar Gmail dot-konton för online fraudJapanese regeringens planer på att hacka sig in i medborgarnas IoT enheter
EU: s order minns av barns smartwatch över svåra integritet concernsRansomware varning: En global attack kan orsaka $200 miljarder i damageCyber säkerhet är “stor oro” i Senaten hot höra CNET
Phishing och spearphishing: En lathund för affärsmän TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter