Слабая сегментация сетей и неэффективные средства контроля безопасности продолжают подрывать способность служб безопасности выявлять атаки и сдерживать их, предоставляя злоумышленникам полную свободу действий после первоначального компрометации, согласно недавнему исследованию, основанному на реальных телеметрических данных корпоративной безопасности.
Отчет Zero Networks «Exposure Report по боковому перемещению за 2026 год», основанный на анализе 54 триллионов действий в 312 действующих корпоративных средах, показал, что более 80% корпоративных серверов доступны из любой точки внутри сети.
Исследование выявило, что 87% корпоративных серверов принимают входящие подключения по протоколам Remote Desktop Protocol (RDP) или SSH (Secure Shell) из широких внутренних источников, предоставляя злоумышленникам широкие пути доступа после проникновения в сеть.
Кроме того, 78% корпоративных серверов доступны через SMB (Server Message Block) или WinRM (Windows Remote Management) — сетевые протоколы, которые злоумышленники обычно используют для бокового перемещения в рамках атак программ-вымогателей или других атак.
В дополнение, 43% внутреннего трафика аутентификации по-прежнему полагаются на NTLM (New Technology Lan Manager) — устаревший протокол, который часто используется для атак типа relay учетных данных и повышения привилегий. И 12% организаций сохраняют прямые административные пути от пользователя к серверу, что означает, что одно скомпрометированное устройство сотрудника может обеспечить немедленный доступ к критически важным системам.
«Эти выводы полностью соответствуют той реальности, которую наши охотники за угрозами в Huntress видят на передовой каждый день», — говорит Дрей Ага, старший менеджер операций по безопасности в фирме управляемого обнаружения и реагирования Huntress, в беседе с CSO. «Большинство сетевых периметров прочны снаружи, но теряют эту враждебность и становятся плоскими внутри сети».
Доступность большинства корпоративных серверов изнутри скомпрометированной сети означает, что у злоумышленников мало потребности в изощренных эксплойтах нулевого дня после прорыва периметра.
«Они [злоумышленники] просто «живут за счет земли», используя те же самые административные инструменты и открытые пути (такие как RDP и SMB), которые используют ИТ-команды», — добавляет Ага.
Робби Винчестер, главный специалист по глобальным профессиональным услугам в фирме кибербезопасности SpecterOps, также заявляет, что выводы Zero Networks «точно соответствуют тому, что мы обычно наблюдаем».
«Практически в каждой проведенной нами проверке с использованием red team и тестировании на проникновение наши тестеры достигали бокового перемещения», — объясняет Винчестер. «Использование таких инструментов, как BloodHound, показывает нам, что пути атак широко распространены и их трудно устранить без видимости, что подчеркивает, насколько сложно предотвратить боковое перемещение».
Взаимосвязаны по замыслу
Проблема заключается в том, что команды по безопасности годами укрепляли периметр, принимая значительную степень неявного доверия внутри сети.
Однако отказ от этого подхода далеко не тривиален, говорит Дэвид Санчо, старший исследователь угроз в Trend Micro.
«Неудобная правда заключается в том, что многие корпоративные среды по-прежнему в значительной степени взаимосвязаны по замыслу», — говорит Санчо. «RDP, SMB, SSH и WinRM существуют потому, что администраторам необходимо выполнять работу».
Устаревшие протоколы, такие как NTLM, сохраняются, потому что их замена может быть операционно сложной, но замена этих устаревающих технологий тем не менее желательна, поскольку их присутствие облегчает злоумышленникам проникновение глубже в скомпрометированные сети.
Тем не менее, Санчо отмечает, что широкая доступность не всегда автоматически означает широкое использование в любых обстоятельствах.
«Доступность указывает на потенциальный радиус поражения, а не на уверенность в компрометации», — объясняет он. «В то же время, выводы подчеркивают текущую операционную проблему: балансирование безопасности и удобства использования».
Более того, добавляет Санчо, «ограничение административных путей, вывод из эксплуатации устаревших протоколов и внедрение более строгой сегментации — все это разумные меры, но их часто трудно реализовать в сложных средах, построенных десятилетиями».
Дхрув Датта, основатель и со-технический директор GolfWiz AI, также рассматривает доступность серверов только как один из аспектов более широкой проблемы устойчивости корпоративной безопасности.
«Доступный сервер все еще может быть защищен средствами контроля идентификации, мониторингом конечных точек, политиками доступа или другими мерами защиты», — говорит Датта CSO. «Практический риск также зависит от привилегий, которые получил злоумышленник, средств контроля вокруг каждого протокола и того, насколько быстро обнаруживается подозрительная активность».
Тем не менее, защитники должны сделать больше для ограничения перемещения злоумышленника, чтобы иметь хоть какой-то шанс защитить конфиденциальные системы, утверждает Джо Бринкли, директор по исследованиям в области наступательной безопасности в фирме по тестированию на проникновение как услуге Cobalt. Это требование становится еще более насущным с ростом использования автоматизированного и управляемого ИИ бокового перемещения.
«Организации должны отказаться от стратегии чистого обнаружения и отдать приоритет детерминированному сдерживанию посредством микросегментации и строгого, основанного на идентификации принципа наименьших привилегий», — советует Бринкли.
Меры противодействия
Внутренняя доступность конфиденциальных систем создает серьезные риски эскалации привилегий и атак программ-вымогателей. Простое сосредоточение внимания на улучшении защиты периметра является совершенно неадекватным.
Смягчение путей атаки и усложнение жизни для злоумышленников включает в себя комбинацию улучшенной сетевой сегментации, контроля идентификации, тестирования с использованием red team и более строгого разделения привилегированного доступа.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden




