Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Более половины современных сайтов содержат критически опасные уязвимости, которые позволяют злоумышленникам проводить различные атаки, включая отказ в обслуживании и кражу персональных данных. Такие выводы содержатся в исследовании компании Positive Technologies на основе работ по анализу защищенности веб-приложений за 2016 год.

Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, и неудивительно ― половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные (включая сайты банков и государственных организаций).

Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний (74%). Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).

Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.

Еще одно важное наблюдение ― веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем.

«Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию, ― комментирует Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. ― Для защиты уже эксплуатируемых приложений рекомендуется использовать межсетевые экраны уровня приложений (web application firewalls)».

В исследовании также представлено сравнение эффективности различных методов анализа защищенности приложений («белый ящик» против «черного ящика») и приведены примеры выявления уязвимостей автоматизированным анализатором кода PT Application Inspector.

«Анализ исходного кода показывает намного более высокие результаты, чем исследование защищенности без доступа к коду приложения, ― отмечает Евгений Гнедин. ― Кроме того, тестирование исходного кода в процессе разработки позволяет значительно повысить защищенность конечного приложения. Для анализа исходного кода на различных стадиях разработки целесообразно применять автоматизированные средства, поскольку это позволяет выявить максимальное число ошибок в кратчайшее время».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Банковские данные в дарквебе: цена достигает $2500

Анализ около 3500 объявлений в дарквебе, опубликованных во второй половине 2024 года, показал, что наибольшей ценностью для киберпреступников обладают данные платежных карт. Их средняя стоимость на теневых ресурсах составляет 2500 долларов США.

Несмотря на высокий уровень защищённости, финансовые организации остаются одной из наиболее уязвимых отраслей: их данные фигурируют в каждом пятом объявлении о продаже информации стоимостью более 10 тысяч долларов.

Наиболее востребованными в дарквебе остаются персональные данные (76%), сведения о платежных картах (12%) и учётные данные (11%). Утечки информации несут для финансовых компаний серьёзные риски, включая регуляторные штрафы и репутационные потери. В России за повторную утечку персональных данных предусмотрены оборотные штрафы в размере от 1 до 3% годовой выручки, но не менее 20 млн рублей.

Хотя финансовые организации активно развивают системы защиты, киберпреступники адаптируются к новым условиям. Один из распространённых векторов атак — компрометация поставщиков ИТ-услуг, работающих сразу с несколькими банками и другими финансовыми структурами. Это позволяет злоумышленникам с минимальными затратами получить доступ к данным сразу нескольких организаций.

Как отмечает старший аналитик Positive Technologies Яна Авезова, летом 2024 года жертвой такой атаки стала сингапурская компания Ezynetic, предоставляющая ИТ-решения для финансового сектора. В результате взлома были скомпрометированы данные 128 тысяч клиентов 12 лицензированных кредитных организаций.

В условиях роста числа кибератак финансовые учреждения вынуждены не только совершенствовать собственные меры защиты, но и внимательно оценивать уровень безопасности своих контрагентов. Уязвимости в цепочке поставщиков остаются значимой проблемой, требующей комплексного подхода к обеспечению кибербезопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru