渗透测试人员存在共同的安全缺陷，使公司容易受到攻击。黑客可以在短短30分钟内利用两次安全漏洞来访问公司的内部网络。

　　Positive Technologies的道德黑客和网络安全研究人员对各个领域的组织进行了渗透测试，但发现了所有行业中常见的安全漏洞。新报告“企业信息系统的渗透测试”中详细介绍了这些发现。

　　该报告基于对真实组织进行网络测试的匿名数据，该报告说，对于71%的公司来说，至少存在一个明显的弱点，可能会为恶意的外部人员提供进入网络的机会。

　　最常见的安全问题之一是弱密码，使黑客可以使用蛮力攻击来访问帐户。破解一个帐户的密码不足以完全获得对内部网络的访问权限，但是在许多情况下，只需这样做，就可以利用已知漏洞来进一步访问系统。

　　“即使对于大型组织来说，问题也在于保护水平低。攻击媒介主要基于利用已知的安全漏洞。这意味着公司未遵循基本的信息安全规则，”

　　除了弱密码之外，超过三分之二的组织正在使用易受攻击的软件版本，该软件尚未收到所需的安全更新，因此容易被利用。

　　Kilyusheva解释说：“如果Web应用程序包含存在被公共利用的漏洞，则攻击者可以快速访问内部网络。”

　　例如，在某些情况下，道德黑客将使用蛮力攻击来访问远程桌面应用程序-由于2020年在家工作的增加，这种方式变得越来越普遍。

　　用户没有访问许多应用程序的权限，但是通过打开映射应用程序，安全测试人员可以访问Windows资源管理器进程和命令行，从而能够在操作系统上执行命令并获得更多访问权限。

　　在渗透练习的三分之一中，研究人员能够通过结合暴力破解和软件漏洞来访问公司网络的内部。在这种情况下，可以通过确保使用强密码和所应用的任何应用程序都已应用安全补丁来防止攻击，因此不能在攻击中利用它们。

　　在这些示例中，作为安全测试的一部分，道德黑客正在访问这些网络，但是网络罪犯正在寻求利用这些漏洞，并可以使用它们来访问大量公司网络。

　　道德黑客进入内部网络所需的平均时间为四天，但在一种情况下，只需30分钟就可以完成。

　　“攻击者可以对关键业务系统(例如金融系统)进行攻击，获得对最高管理者计算机的访问权，或者对公司的客户或合作伙伴进行攻击。此外，黑客可以在暗网上将获得的访问权出售给其他犯罪分子进行攻击-例如勒索软件，”Kilyusheva说。

　　但是，通过遵循一些常见的安全性程序(例如不使用弱密码)，应用多因素身份验证以确保用软件更新修补网络，组织可以保护自己免受多种形式的网络攻击。

　　责任编辑：张华