Большинство взломов начинается не со сложных атак, а с базовых ошибок. Анализ сотен проектов показал: критические уязвимости массово остаются незакрытыми, их комбинации открывают прямой путь к компрометации инфраструктуры.
- 1. Введение
- 2. Ключевые выводы исследования
- 3. Отраслевой анализ
- 4. Какие уязвимости встречаются чаще всего
- 5. Как развиваются реальные атаки
- 6. Рекомендации
- 7. Выводы
Введение
Компания ScanFactory представила аналитический отчёт по результатам оценки защищённости внешнего периметра сотни российских организаций за 2022–2025 годы. Отчёт демонстрирует, какие уязвимости действительно эксплуатируются на практике, и позволяет выявить ключевые тенденции атак в 2026–2027 годах. Выяснилось, что более половины уязвимостей на внешнем периметре российских компаний относятся к критическому и высокому уровням.
В рамках исследования было проанализировано 246 коммерческих проектов по анализу защищённости компаний из 18 отраслей экономики. Результаты основаны на ручной работе экспертов: каждая угроза была подтверждена вручную, продемонстрирован риск эксплуатации с точки зрения злоумышленника, даны конкретные рекомендации к устранению каждого риска.
Дополнительно важно, что исследование охватывает именно веб-приложения — ключевой элемент современной цифровой инфраструктуры, через который компании взаимодействуют с клиентами и обрабатывают критически важные данные. Именно поэтому внешний периметр остаётся одной из основных точек входа для злоумышленников, а его защищённость напрямую влияет на устойчивость бизнеса.
Ключевые выводы исследования
В ходе исследования было выявлено 464 уникальные уязвимости, при этом 53 % из них относятся к критическому и высокому уровням риска, а оставшиеся 47 % — к среднему. Более 70 % всех проблем связаны с базовыми ошибками — неправильной конфигурацией, управлением доступом и учётными данными. Это подтверждает, что основной источник угроз — не сложные техники атак, а системные нарушения базовых практик безопасности.
Полученные результаты подтверждают: основной источник риска — не сложные атаки, а системные ошибки в базовой безопасности.
Дополнительный анализ распределения показывает, что критические уязвимости составляют примерно каждую 5 выявленную проблему, а высокая доля приходится на уязвимости, которые давно известны и имеют публичные описания и патчи. Это означает, что значительная часть рисков может быть устранена без внедрения сложных технологий — за счёт базовой дисциплины безопасности.
Рисунок 1. Результаты отчёта по категориям
Отраслевой анализ
Распределение уязвимостей по отраслям оказалось неоднородным. Наибольшее их количество зафиксировано в ИТ, e-commerce и логистике — отраслях с высокой цифровой нагрузкой и динамикой изменений. При этом максимальная плотность критических уязвимостей на одну компанию наблюдается в образовании, государственном секторе и энергетике.
Такая картина показывает, что оценка рисков требует учёта не только общего числа проблем, но и их концентрации, поскольку именно она определяет вероятность компрометации.
Дополнительные данные подтверждают, что высокая доля уязвимостей в ИТ и облачных сервисах связана не только с уровнем атак, но и со сложностью и масштабом инфраструктуры. В то же время в отраслях с меньшим количеством обследованных компаний фиксируется более высокая плотность критических дефектов, что указывает на недостаточную зрелость процессов безопасности и отсутствие системного контроля.
Какие уязвимости встречаются чаще всего
Анализ по OWASP Top-10 показал, что лидируют:
- ошибки конфигурации (security misconfiguration);
- уязвимости класса инъекций (SQL injection, XSS и др.);
- нарушения контроля доступа (IDOR — insecure direct object reference, обход авторизации);
- проблемы с аутентификацией и учётными данными.
Также значительную долю составляют устаревшие компоненты и известные CVE (common vulnerabilities and exposures), что говорит о недостаточной зрелости процессов обновления.
При этом более детальный анализ показывает, что ошибки конфигурации и инъекции суммарно формируют более половины всех выявленных уязвимостей. Существенную долю также занимают проблемы контроля доступа и защиты учётных записей, включая использование слабых паролей и отсутствие MFA (multi-factor authentication).
На уровне конкретных классов уязвимостей часто встречаются XSS, SQL-инъекции, IDOR, утечки данных и использование устаревших компонентов. Даже менее распространённые уязвимости, такие как SSRF (server-side request forgery) или ошибки проектирования, при определённых условиях могут стать частью цепочки атаки и привести к критическим последствиям.
Как развиваются реальные атаки
Отчёт показывает, что критические инциденты чаще всего возникают не из одной уязвимости, а из цепочек:
- XXE (XML external entity) → SSRF (server-side request forgery) → утечка учётных данных → RCE (remote code execution);
- раскрытие ID → brute force → устаревший компонент → RCE (remote code execution);
- XSS (cross-site scripting) → SSRF (server-side request forgery) → доступ к внутренним API → удаление данных.
Даже уязвимости среднего уровня при комбинации приводят к полной компрометации системы.
Практика пентестов подтверждает это: в одном из сценариев уязвимость XXE позволяла читать конфигурационные файлы, из которых извлекались учётные данные, после чего злоумышленник получал возможность загрузить вредоносный файл и выполнить код на сервере. В другом случае комбинация утечки идентификаторов пользователей, отсутствия защиты от перебора паролей и использования устаревшего компонента привела к полному захвату системы.
Такие кейсы демонстрируют, что даже не самые критичные уязвимости становятся опасными при наличии цепочек и ошибок конфигурации.
Рекомендации
Эксперты ScanFactory выделили ключевые меры, которые дают максимальный эффект:
- внедрение MFA (multi-factor authentication, многофакторной аутентификации) и контроль учётных записей;
- регулярный патч-менеджмент всех компонентов;
- строгая валидация входных данных;
- контроль бизнес-логики и прав доступа;
- сочетание автоматического сканирования и ручного пентеста.
Эти меры направлены на устранение наиболее частых и критичных точек отказа в защите. Их внедрение позволяет закрыть значительную часть уязвимостей без сложных и дорогостоящих трансформаций инфраструктуры. Ключевой эффект достигается за счёт системности и регулярности применения.
Дополнительно рекомендуется внедрять контроль попыток аутентификации, отслеживать утечки учётных данных, использовать «белые списки» при обработке пользовательского ввода и регулярно проверять инфраструктуру как автоматизированными средствами, так и вручную. Практика показывает, что именно сочетание этих подходов позволяет существенно снизить риск успешной атаки.
Выводы
Исследование подтверждает: основные риски на внешнем периметре связаны не с редкими атаками, а с базовыми нарушениями практик безопасности.
Фокус на устранении этих проблем позволяет существенно снизить вероятность инцидентов и повысить устойчивость бизнеса.
Дополнительно результаты показывают, что большинство инцидентов не связано с уязвимостями «нулевого дня», а возникает из-за накопления известных проблем и отсутствия системного подхода к их устранению. Это означает, что повышение зрелости процессов безопасности даёт более высокий эффект, чем точечные инвестиции в отдельные технологии.
Полная версия аналитического отчёта доступна по ссылке (включает перечень подтверждённых критических уязвимостей и разбор реальных сценариев атак).
Реклама, 18+. ООО «СканФэктори». ИНН 7727458406
ERID: 2Vfnxvj9Shp
