Практически полностью защищенной признана только одна тестируемая организация (В исследовании отмечено, что компания ранее участвовала в пентестах и провела «работу над ошибками» по итогам прошлых мероприятий).

Проводились внешние и внутренние пентесты. Внешние имели целью получение доступа во внутреннюю сеть компании. Задача внутреннего пентеста — получение максимальных привилегий в инфраструктуре компании.

Время проникновения в ЛВС (локальную вычислительную сеть) составляло от 1 до 10 дней.

Все 100% компаний, где велись внутренние пентесты, в той или иной степени оказались не защищены перед злоумышленниками.

В 63% организаций во внутренний ИБ-контур могут проникать хакеры низкой квалификации.

«В одном из проектов специалисты добились получения максимальных привилегий в домене Active Directory спустя 6,5 часов», –  отмечено в отчете Positive Technologies.

В другой  компании была достигнута возможность несанкционированного доступа к БД с 400 000 пользователей.

В 70% компаний, прошедших внешнее тестирование, используется устаревшее ПО с критическими уязвимостями.

В 21% компаний были обнаружены следы компрометации данных: эти организации подвергались реальным хакерским атакам — чего в компаниях не заметили.

Внутренний пентест в 81% компаний показал,  что уровень защиты в них низкий. Внешний пентест неудовлетворительно прошли 74% организаций.

Бизнес-структуры должны инвестировать существенные средства в архитектуру собственной информационной безопасности.

Но эксперты по кибербезу — как сторонние, так и внутри компаний – нередко сталкиваются с неустранимой управленческой ошибкой класса «авось пронесет»  – руководители многих бизнес-структур в силу малой компетенции в вопросах ИБ не воспринимают проблему всерьез. Пока гром не..., пока петух в… и т.д.

С исследованием можно ознакомиться на сайте