«Ростелеком»: 80% российских компаний не соблюдают требований к паролям
Материалы выпуска
15 июня в Wink состоится премьера мини-сериала «Их было десять» Пресс-релизы «Ростелеком»: 80% российских компаний не соблюдают требований к паролям Пресс-релизы «Ростелеком» в СЗФО открывает «зеленый коридор» для операторов связи Пресс-релизы Премьера сериала «Чики» состоится 4 июня в Wink и на more.tv Пресс-релизы Коллекция аудиокниг от «ЛитРес» теперь доступна на Wink! Пресс-релизы Супершоу «Классика в честь Дворцовой» состоится 27 мая в Wink Пресс-релизы Эксклюзивный концерт группы «ДДТ» на Wink и more.tv Пресс-релизы «Ростелеком» объявляет о наборе агентов для удаленной работы Пресс-релизы Что смотрели россияне в майские праздники Пресс-релизы Фильм «Временная связь» на Wink — о чём надо помнить вечно Пресс-релизы «Ростелеком» обнуляет стоимость звонков с домашних для ветеранов войны Пресс-релизы «Ростелеком» предлагает компаниям услугу «Бесплатный вызов» за один рубль Пресс-релизы «Домашний офис» для малого и среднего бизнеса Пресс-релизы Что смотрят те, кто остался дома? Пресс-релизы «Агата Кристи» проведет онлайн-концерт при поддержке Wink Пресс-релизы Тимати даст эксклюзивный живой концерт в видеосервисе Wink 17 апреля Пресс-релизы «Ростелеком» открыл регистрацию на онлайн-хакатон VirusHack Пресс-релизы Спорт и концерты не выходя из дома — вместе с Wink Пресс-релизы Для тех, кто дома — Wink увеличил коллекцию бесплатного контента в 2 раза Пресс-релизы Более 40 тысяч офисных сотрудников «Ростелекома» перешли на удаленку Пресс-релизы Сеть Ростелекома работает устойчиво при росте заявок Пресс-релизы Более 180 млн. руб. возвращено налогоплательщикам при помощи Ростелекома Пресс-релизы «Ростелеком» и Devar представляют интерактивную платформу для детей Пресс-релизы Bon Jovi на Wink сегодня Пресс-релизы Портал госуслуг получил наивысшую оценку по доступности Пресс-релизы Письменный экзамен: как распознать вредоносную рассылку Пресс-релизы В Wink состоится телевизионная премьера концерта группы «Мумий Тролль» Пресс-релизы «Ростелеком» сообщил о начале производства планшетов для переписи Пресс-релизы
Вологда,
0
Материал предоставлен ПАО «Ростелеком».
Материалы выпуска
Материалы выпуска
15 июня в Wink состоится премьера мини-сериала «Их было десять»
«Ростелеком» в СЗФО открывает «зеленый коридор» для операторов связи
Премьера сериала «Чики» состоится 4 июня в Wink и на more.tv
Коллекция аудиокниг от «ЛитРес» теперь доступна на Wink!
Супершоу «Классика в честь Дворцовой» состоится 27 мая в Wink
Эксклюзивный концерт группы «ДДТ» на Wink и more.tv
«Ростелеком» объявляет о наборе агентов для удаленной работы
Что смотрели россияне в майские праздники
Фильм «Временная связь» на Wink — о чём надо помнить вечно
«Ростелеком» обнуляет стоимость звонков с домашних для ветеранов войны
«Ростелеком» предлагает компаниям услугу «Бесплатный вызов» за один рубль
«Домашний офис» для малого и среднего бизнеса
Что смотрят те, кто остался дома?
«Агата Кристи» проведет онлайн-концерт при поддержке Wink
Тимати даст эксклюзивный живой концерт в видеосервисе Wink 17 апреля
«Ростелеком» открыл регистрацию на онлайн-хакатон VirusHack
Спорт и концерты не выходя из дома — вместе с Wink
Для тех, кто дома — Wink увеличил коллекцию бесплатного контента в 2 раза
Более 40 тысяч офисных сотрудников «Ростелекома» перешли на удаленку
Сеть Ростелекома работает устойчиво при росте заявок
Более 180 млн. руб. возвращено налогоплательщикам при помощи Ростелекома
«Ростелеком» и Devar представляют интерактивную платформу для детей
Bon Jovi на Wink сегодня
Портал госуслуг получил наивысшую оценку по доступности
Письменный экзамен: как распознать вредоносную рассылку
В Wink состоится телевизионная премьера концерта группы «Мумий Тролль»
«Ростелеком» сообщил о начале производства планшетов для переписи

«Ростелеком»: 80% российских компаний не соблюдают требований к паролям

Компания «Ростелеком-Солар», дочерняя структура ПАО «Ростелеком», провела исследование, которое показало, что около 80% компаний не соблюдают базовых правил парольной защиты.

При этом практически в каждой тестируемой корпоративной сети специалистам по анализу защищенности удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, с большой вероятностью способную привести к краже финансовых средств или конфиденциальной информации.

Эксперты предупреждают: недостатки, связанные с паролями, могут привести к полной компрометации внутренней сети и утечке критически важных для организации конфиденциальных данных. Особенно опасно то, что эксплуатация таких недостатков не требует со стороны злоумышленников специальных технических средств и позволяет им долго оставаться незамеченными внутри корпоративной сети.

В основу исследования «Ростелеком-Солар» легли данные, полученные экспертами компании в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария: проникновение в корпоративную сеть извне, а также имитацию действий внутреннего нарушителя.

Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и т.п.), а также отсутствие блокировок учетных записей, что позволяет проводить атаки на подбор паролей.

Основной недостаток, обнаруженный при внутреннем тестировании на проникновение, — использование сотрудниками одинаковых паролей учетных записей с различными правами. Например, в целях безопасности системным администраторам, как правило, выдаются две учетные записи: пользовательская, в которой он работает по умолчанию, и привилегированная административная, используемая по мере необходимости. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности. Подобные недостатки эксперты «Ростелеком-Солар» эксплуатируют в большинстве исследуемых корпоративных сетей.

Еще одна распространенная ошибка — хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. Например, пароли в групповых политиках или записанные рядовым сотрудником пароли в текстовых файлах на рабочей станциях. В такой ситуации даже случайное попадание вредоносного ПО на машину одного сотрудника становится критической угрозой безопасности всей организации. Если злоумышленник попадает на машину пользователя и находит такой документ, он моментально получает управление привилегированными учетными записями, проникая вглубь компании.

В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.

«Основная причина, которая ведет к подобным недостаткам — это человеческий фактор. Сотрудники компаний часто обладают недостаточной киберграмотностью и в результате стараются либо упростить пароли, либо хранят их в открытом доступе: в файле на компьютере или на стикере рядом с монитором. С другой стороны, сами системные администраторы порой недостаточно следят за тем, как хранятся учетные данные, или допускают создание пользователями слабых паролей. Нередко при заведении новых учетных записей в них по умолчанию устанавливается простой дефолтный пароль, который потом долго не меняют», — отмечает Александр Колесов, руководитель отдела анализа защищенности компании «Ростелеком-Солар».

Решить проблему, по мнению экспертов компании, можно введением двухфакторной аутентификации пользователей. Однако на данный момент из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.

«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.
В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только при непрерывном мониторинге и удобном управлении системами ИБ. Этот принцип реализован в наших продуктах и сервисах.