Raport przygotowano na podstawie analizy danych z ponad 1900 testów penetracyjnych oraz ponad 200 prawdziwych włamań. Z dokumentu wynika m.in. że działy IT dużych firm mają często źle zorganizowane procedury aktualizowania oprogramowania - jednym z podstawowych problemów jest skupianie się wyłącznie na najnowszych, często nagłaśnianych przez media, lukach w oprogramowaniu. Oczywiście, tymi problemami również należy się zajmować - ale nie powinno się przy okazji zapominać o innych błędach (starszych lub mniej poważnych).

Efektem stosowania nieprawidłowych procedur jest to, że włamania do infrastruktury informatycznej amerykańskich firm często przeprowadzane są z wykorzystaniem nie najnowszych, nagłośnionych luk, lecz starszych, zapomnianych błędów w popularnym oprogramowania. "Dotyczy to zresztą nie tylko samych błędów, ale też pewnych metod ataku - niektóre z nich wciąż są niezmiernie popularne wśród cyberprzestępców, mimo, iż media poświęcają im mało uwagi" - tłumaczą autorzy raportu.

Z opracowania dowiadujemy się na przykład, że trzema najpopularniejszymi metodami włamywania się wciąż są: wykorzystanie aplikacji do zdalnego dostępu do komputera, bezpośrednie podłączenie się do atakowanej sieci (np. z terenu firmy) oraz atak typu SQL injection. To swoisty paradoks - bo wszystkie te metody są doskonale poznane i istnieją skuteczne sposoby zabezpieczenia się przed nimi. Problem w tym, że administratorzy tak bardzo skupiają się na zwalczaniu najnowszych zagrożeń (nowych exploitów, luk zero-day itp.), że zapominają często o zastosowaniu zupełnie podstawowych zabezpieczeń.

Eksperci z TrustWave odkryli m.in., że bardzo powszechnym błędem jest fatalne zabezpieczanie wykorzystywanych w firmach interfejsów aplikacji webowych - np Websphere czy Cold Fusion. Okazuje się, że w niektórych przypadkach administratorzy nawet nie ustawiali tam zabezpieczenia hasłem - dzięki czemu napastnik mógł bez problemu umieścić na serwerze webowym jakiś szkodliwy kod.

Dość powszechne jest również zapominanie o odpowiednim zabezpieczeniu sprzętu sieciowego (chodzi tu m.in. o problem pozostawiania domyślnych, fabrycznych haseł na routerach, czy switchach), a także umieszczanie na dostępnym z zewnątrz serwerze aplikacji i danych, które powinny być dostępne wyłącznie dla pracowników firmy. Często zdarzają się również przypadki nieprawidłowego konfigurowania firewalli, a także korzystania ze źle zabezpieczonych sieci bezprzewodowych (dość popularne jest zabezpieczanie WiFi przestarzałym standardem WEP).

"W większości przypadków wykryte przez nas problemy były znane od dawna i świetnie opisane - administratorzy nie powinni więc mieć najmniejszego problemu z odpowiednim skonfigurowaniem zabezpieczeń. Co więcej - powinni to zrobić już bardzo dawno" - komentuje Nicholas Percoco, wiceprezes działającego w ramach TrustWave zespołu badawczego SpiderLabs.

"Mamy tu do czynienia z dwoma niepokojącymi trendami. Jeden polega na tym, że w systemach informatycznych wielkich firm wciąż znajdujemy znane od lat - czasami nawet 20 czy 30 - luki w programach i błędy w zabezpieczeniach. Drugie zjawisko jest jeszcze bardziej niepokojące - wygląda na to, że przestępcy coraz częściej próbują wykorzystywać te stare luki i używają do tego najnowocześniejszych narzędzi" - dodaje Percoco.

Co w takim razie powinny robić firmy, by się odpowiednio zabezpieczyć? Zdaniem Percoco, pierwszym krokiem musi być szczegółowy audyt zasobów informatycznych - okazuje się bowiem, że w wielu firmach administratorzy nie wiedzą tak naprawdę, jakie aplikacje i urządzenia działają w ich systemie (i w związku z tym zapominają o ich aktualizowaniu i odpowiednim konfigurowaniu). Kolejnym krokiem powinno być sprawdzenie, które z nich są wciąż naprawdę niezbędne do pracy firmy - te, które są potrzebne, należy odpowiednio zabezpieczyć, zaś inne - usunąć lub zastąpić nowocześniejszymi rozwiązaniami. Warto też uważnie przyglądać się aplikacjom wprowadzanym do firmowych zasobów przez kontrahentów - w wielu przypadkach to one są wykorzystywane przez przestępców do włamywania się.