В большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности, которые могут совершить даже низкоквалифицированные хакеры
Эксперты Positive Technologies рассказали о результатах тестирований на проникновение1, проведенных для организаций в 2023 году. Исследователи верифицировали возможность реализации 90% недопустимых событий, дополнительно обозначенных заказчиками. Эксперты выяснили, что каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.
Исследователи проанализировали результаты проектов по внутренним и внешним пентестам в российских организациях в различных отраслях: ИТ (25%), финансовой сфере (23%), промышленности (13%) и других. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% представляли серьезную опасность. Основными причинами неудовлетворительного состояния защищенности организаций стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики. Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций. Уязвимости, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, называются трендовыми. Их необходимо устранять в первую очередь.
Результаты исследования показали, что основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN2 и Citrix3).