這次調查涵蓋Positive Technologies的專家對2011年到2012年的滲透測試進行一般的統計數據。其中包括了外部測試和攻擊方的滲透測試。

在2011年和2012年，Positive Technologies的專家進行了超過50次滲透測試，本研究基于其中20個最具規模的測試報告結果(每年10個結果)。我們將那些受限制的主機排除，因為這些主機的測試結果無法廣泛反映目標信息系統的安全級別。

這次研究涵蓋了政府和商業的主要機構，其中包括了專業RA機構評出的俄羅斯前400強的企業。

一、2011和2012年整體數據

最低攻擊條件(對重要資源的控制)

Positive Technologies的專家對其中75%的目標進行測試，并獲得了管理和完全控制重要資源的權限，幾乎一半(45%)的測試結果顯示，任何外部攻擊者都可以獲得相同訪問權限。四分之一的測試顯示，位于內部攻擊者在用戶網段可以對關鍵資源完全控制，并不需要任何額外的特權。

最低攻擊條件(邊界繞過)

其中一半的系統不需要額外的特權便可由攻擊者繞過安全邊界。每個Internet用戶都可能訪問系統中的外部網絡。在這種情況下，如果對大型國有企業公司進行未授權的滲透測試，那么意味著會造成巨大的損失，這些結果表明，俄羅斯的企業信息安全處于一個很低的水平。

部分web攻擊者獲取權限級別

84%的檢測系統非常容易就能通過Internet讓未經授權的訪問者進行訪問。每3個測試結果就有一個可以將整個基礎設施完全控制。

部分內部攻擊者獲得權限級別

在所有被檢測的系統的滲透測試中，全都允許專家進行未授權訪問資源。有67%的被檢測系統，無特權的內部攻擊者連接到用戶工作段能夠得到對整個基礎設施的完全控制。此類攻擊者中只有8%無法提升權限，但是卻可以通過網絡連接到管理員段完全控制某些關鍵系統而且不需要額外權限。

檢測到的嚴重漏洞

檢測的系統中至少都存在中等嚴重級別的漏洞。80%以上的系統擁有高危漏洞。

檢測到的有關配置缺陷的嚴重漏洞

四分之三的系統中擁有與配置缺陷相關的高嚴重性等級的安全漏洞。被檢測出來的中等危害漏洞占所有系統漏洞中的25%。

檢測到有關更新缺陷的嚴重漏洞

65%的系統中被檢測出中等或高等危害的有關更新策略的漏洞。幾乎一半的系統中都檢測到關鍵性漏洞。

無線網絡安全分析

無線網絡分析結果如下：每四個系統中就有一個在使用弱WEP加密算法，這可以在短短幾分鐘之內被爆破。

二、2011年至2012年信息安全水平動態

最低攻擊條件(完全控制關鍵資源)

我們發現對于專家們并沒有破解和完全控制關鍵資源的系統的數量，去年從20%增加到了30%。但與此同時，我們發現，允許外部攻擊者對關鍵資源的完全控制的系統有所增加。(在2012年只有一半的檢測系統會這樣。)

最低攻擊條件(邊界繞行)

在2012年我們發現允許外部攻擊中訪問外部網絡的系統數量增加(當前值為56%)。

部分外部攻擊者獲得權限級別

在2012年，我們發現作為企業信息安全系統的一部分，外部創建web應用程序的安全級別有所增加：他們使侵入者相對不易侵入到內部網絡。同時，配置了合理的安全系統根據外部攻擊者而制定的合理的安全級別，這類系統數量從10%升到22%，增加了2倍。

部分內部攻擊者獲取特權級別

由專家模擬一個外部攻擊者從用戶網段獲得完全控制的系統的數量有所減少;但在2012年，每一個這樣的系統都允許測試專家用這類攻擊以管理訪問權限訪問至少一個主機。

在2011年到2012年中，最普遍的漏洞：

簡單密碼

密碼策略缺陷

開放或者不安全的協議