Две трети крупнейших российских сайтов под угрозой, каждый десятый ресурс взломан
В период с 2010 по 2011 год эксперты компании Positive Technologies в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем проводили детальный анализ веб-приложений ключевых российских компаний и предприятий. Несмотря на хорошо выстроенные в этих организациях процессы ИБ, 10% проанализированных сайтов не только содержали критические уязвимости, но и были уже взломаны.
Статистика Positive Technologies
Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. Две трети веб-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска.
Лидером по количеству слабозащищенных сайтов оказались телекоммуникации: 88% ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу. Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.
Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75% и 65% соответственно.
Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями — от промышленного шпионажа до полной остановкой производства или экологической катастрофы.
Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости. Тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу.
При этом большинство сайтов финансового сектора пока не соответствуют международным стандартам, несмотря на то, что примерно 98 из каждых 100 уязвимостей в системах ДБО и других веб-приложениях финсектора — не являются критическими. Как следует из полученной статистики, только 10% исследованных веб-приложений финансового сектора (включая ДБО) удовлетворяют требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.
Статистика Positive Technologies
Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. Две трети веб-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска.
Лидером по количеству слабозащищенных сайтов оказались телекоммуникации: 88% ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу. Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.
Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75% и 65% соответственно.
Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями — от промышленного шпионажа до полной остановкой производства или экологической катастрофы.
Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости. Тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу.
При этом большинство сайтов финансового сектора пока не соответствуют международным стандартам, несмотря на то, что примерно 98 из каждых 100 уязвимостей в системах ДБО и других веб-приложениях финсектора — не являются критическими. Как следует из полученной статистики, только 10% исследованных веб-приложений финансового сектора (включая ДБО) удовлетворяют требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.
Ещё новости по теме:
18:20