Исследование Positive Technologies: более половины российских компаний не знают, что есть в их ИТ-инфраструктуре

В исследовании приняли участие более 130 компаний из сфер ИT, промышленного производства, ритейла, финансов, из топливно-энергетического комплекса и других секторов экономики. Цель исследования — узнать, как современные организации выстраивают процесс управления цифровыми активами[1], какие инструменты и подходы используют, с какими трудностями при этом сталкиваются и какие задачи планируют решить с помощью систем класса asset management.

По данным исследования Positive Technologies, каждая третья компания не уверена, что обладает точной информацией об аппаратном и программном обеспечении, которое формирует основу операционной деятельности. Около 80% компаний вводят или выводят из эксплуатации активы как минимум раз в квартал. Это может привести к появлению уязвимостей и незащищенных мест в инфраструктуре организации, которые впоследствии могут быть использованы в атаках злоумышленников. Например, в ходе пентестов эксперты обнаружили уязвимость, вызванную небезопасной конфигурацией, которая может привести к получению максимальных привилегий в домене Active Directory^[2].

Около четверти респондентов (22%), согласно результатам опроса, считают важным только управлять активами при их закупке, поддержке и эксплуатации. Лишь 15% компаний считают важным обеспечить защиту всех важных цифровых активов в своей инфраструктуре. При этом 63% организаций уверены в необходимости, помимо управления всеми важными устройствами и системами, обеспечить также их защиту, объединив для этого функции ИТ-специалистов с задачами, выполняемыми подразделением ИБ. По мнению экспертов Positive Technologies, такой подход обусловлен тем, что большинство кибератак совершаются через компрометацию компьютеров, серверов и сетевого оборудования.

Цифровыми активами в общей сложности управляют две трети опрошенных организаций. Однако, как показало исследование, многие организации сталкиваются с трудностями в учете и отслеживании устройств и систем, часто рассматривая только ключевые из них, что существенно ограничивает видимость инфраструктуры. Так, только пятая часть опрошенных компаний управляет более чем 80% активов. Вместе с тем даже незначительное количество неучтенных узлов может привести к реализации недопустимых событий. Специалисты Positive Technologies подчеркивают, что именно такие устройства с устаревшим ПО, ошибками конфигураций и уязвимостями часто становятся целью злоумышленников. Проникнуть во внутреннюю сеть компании атакующим чаще всего позволяют ошибки в коде веб-приложений, недостатки парольной политики и конфигурации сервисов, находящихся на периметре сети.

«Компаниям, в которых не налажено управление активами, крайне трудно выявлять потенциальные маршруты атак злоумышленников и приоритизировать уязвимости. Как следствие, снижается эффективность работ по усилению безопасности, — прокомментировала Зоя Гуревич, руководитель продукта по управлению активами, Positive Technologies. — Непрерывная инвентаризация ресурсов и сбор конфигураций элементов инфраструктуры должны стать не целью, а средством, благодаря которому подразделение ИБ сможет обеспечить защищенность организации от недопустимых событий. Технология asset management позволяет получать актуальные знания об ИТ-инфраструктуре организации и сделать ее защищеннее».

Специализированные продукты для управления активами используют всего 25% респондентов.

[1] Управление ИT-активами — это непрерывный процесс обнаружения, отслеживания и управления программными и аппаратными активами на протяжении всего их жизненного цикла, от планирования закупки до вывода из эксплуатации.

[2] Active Directory — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server.