Positive Technologies: треть выявленных в российских компаниях уязвимостей имели критическую и высокую степень риска

В большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности, которые могут совершить даже низкоквалифицированные хакеры

Эксперты Positive Technologies рассказали о результатах тестирований на проникновение¹, проведенных для организаций в 2023 году. Исследователи верифицировали возможность реализации 90% недопустимых событий, дополнительно обозначенных заказчиками. Эксперты выяснили, что каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.

Исследователи проанализировали результаты проектов по внутренним и внешним пентестам в российских организациях в различных отраслях: ИТ (25%), финансовой сфере (23%), промышленности (13%) и других. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% представляли серьезную опасность. Основными причинами неудовлетворительного состояния защищенности организаций стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики. Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций. Уязвимости, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, называются трендовыми. Их необходимо устранять в первую очередь. 

Результаты исследования показали, что основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN² и Citrix³).

В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. Кибертаки низкого уровня сложности может проводить нарушитель, который имеет лишь базовые знания и пользуется общедоступными эксплойтами⁴ и автоматизированным ПО для проведения атак. Например, в таких векторах можно задействовать две уязвимости в Microsoft Exchange с общедоступными эксплойтами: первую — для удаленного выполнения кода (CVE-2022-41082), вторую — для повышения привилегий (CVE-2022-41080). Эксплуатация такой комбинации уязвимостей позволит злоумышленнику проникнуть внутрь системы и повысить привилегии на узле. Это может привести к реализации недопустимых для организации событий. 

Эксперты рекомендуют компаниям уделить особое внимание парольной политике, безопасности веб-приложений и уязвимостям продуктов сторонних вендоров, используемых в информационных системах. Для усиления безопасности веб-приложений необходимо внедрять регулярный анализ защищенности, методы безопасной разработки и управления уязвимостями, а также использовать межсетевые экраны уровня приложений. Кроме того, важно использовать системы мониторинга инфраструктуры компаний. Например, MaxPatrol SIEM, который оперативно обнаруживает подозрительную активность в ИТ-инфраструктуре и своевременно сообщает о ней специалистам. Для снижения риска рекомендуется регулярно обновлять программное обеспечение, следить за уведомлениями о новых уязвимостях и патчах безопасности.

1. Тестирование на проникновение, или пентест — это работа по оценке защищенности информационной системы, которая подразумевает под собой моделирование реальных атак злоумышленников и подтверждение возможности нанести организации ущерб (финансовый, репутационный или другой) во время настоящей атаки.
2. VPN (virtual private network) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений.
3. Приложение Citrix Workspace для Windows предоставляет доступ к приложениям и рабочим столам с удаленного клиентского устройства с помощью ресурсов Citrix Virtual Apps and Desktops и Citrix DaaS (ранее — служба Citrix Virtual Apps and Desktops).
4. Эксплойт — вредоносный код, который использует ошибки или недостатки системы безопасности для распространения киберугроз.