Слабые пароли - основной недостаток систем ДБО

Александр Панасенко 21 Октября 2013 - 12:01

Средства управления информационной безопасностью

...

Наиболее распространенные уязвимости в системах дистанционного банковского обслуживания (ДБО) связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%), говорится в исследовании Positive Technologies.

Согласно сообщению, во многих системах также присутствует раскрытие информации о версиях используемого программного обеспечения (73%), что облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии). Самые распространенные уязвимости, по результатам проведенного исследования, имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие индивидуальных для конкретных систем критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой, пишет digit.ru.

Как сообщил Digit.ru Сергей Гордейчик, заместитель генерального директора Positive Technologies, «В поисках компромисса между защищенностью и удобством, часто выбор делается в пользу последнего, поскольку пользователи ДБО не всегда в состоянии запоминать и использовать сложные пароли. В целом, мы считаем, что аутентификация по паролю уже не соответствует современным требованиям безопасности. Что касается подбора (Bruteforce), то этот класс уязвимостей распространяется не только на пароли, но и на другие секреты (идентификатор пользователя, номер счета или карты, cvv/cvc, одноразовый пароль, CAPTCHA). Зачастую о возможности подбора этих значений разработчики забывают. Кроме того, в последнее время активно внедряются системы ДБО для мобильного банкинга, смартфонов и планшетов. И в стремлении упростить интерфейс и реализацию подобных систем разработчики „забывают“ о уже реализованных во „взрослой“ версии ДБО защитных механизмах».

По данным исследования, более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами. Часто для несанкционированного проведения транзакций на уровне пользователей систем ДБО злоумышленнику достаточно воспользоваться несколькими уязвимостями средней критичности, что позволяет сделать вывод: отсутствие уязвимостей высокой степени риска не означает, что система хорошо защищена, отмечается в сообщении.

Согласно результатам исследования, в каждой третьей системе возможно получение доступа к операционной системе или СУБД сервера, в ряде случаев возможно получение полного контроля над ОС или СУБД. Еще 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Среди обнаруженных уязвимостей ДБО экспертами было выявлено 8% уязвимостей высокого уровня риска, 51% среднего уровня риска, и 41% — низкого уровня.

По мнению Евгении Поцелуевской, руководителя аналитической группы отдела анализа защищенности Positive Technologies, банки принимают меры для того, чтобы защититься от подбора паролей к личным кабинетам пользователей, но часто эти меры оказываются недостаточными. Во всех исследованных компанией системах те или иные ограничения на выбор пароля пользователя присутствовали, но каких-то требований не хватало. В каждой пятой системе, минимальная длина пароля составляла 6 символов — несколько лет назад этого было бы достаточно, но в современных условиях пароль такой длины может быть подобран достаточно быстро. Лучше, чтобы длина пароля составляла как минимум 8 символов.

«Эти и другие пробелы в парольной политике могут быть связаны желанием обеспечить более удобную работу с системой для пользователей, а также с тем, что банки полагаются на то, что используемые механизмы защиты от подбора паролей сильно ограничат возможности атакующего. Но, как показывает практика, и эти механизмы несовершенны (вторая по распространенности уязвимость). Уязвимости этой категории, как правило, связаны с тем, что не всегда специалисты банков и разработчики систем ДБО обладают глубокими практическими знаниями в области информационной безопасности, которые позволили бы им предусмотреть все возможные варианты обхода существующей защиты», — сообщила Поцелуевская.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 13:18

Общее R-Vision

На R-EVOlution Conference 2026 поспорили, где ИБ пора перестать усложнять

В Москве прошла четвёртая ежегодная конференция R-EVOlution Conference 2026, посвящённая цифровизации и кибербезопасности. В этом году организаторы и участники говорили в первую очередь об эффективности — без лишнего шума и без привычной гонки за всем новым сразу.

Судя по программе, главный вопрос звучал примерно так: что в ИТ и ИБ действительно даёт результат, а что только добавляет сложности, затрат и перегрузки командам. Именно вокруг этого и строились бизнес- и технический треки конференции.

В мероприятии приняли участие более 1000 человек в онлайн- и офлайн-форматах. На площадке выступили 39 спикеров, а в центре обсуждения были вполне прикладные темы: оптимизация процессов, выбор инструментов, внедрение платформенных решений, развитие SOC, управление уязвимостями и использование ИИ в рабочих сценариях.

Одной из центральных тем стала экономика ИТ- и ИБ-решений. Участники обсуждали, где бизнесу стоит ускорять цифровизацию, а где, наоборот, полезнее притормозить и трезво оценить эффект от вложений. Отдельно говорили о роли искусственного интеллекта — не только как о полезном инструменте, но и как об источнике новых рисков, расходов и неопределённости.

Если коротко, общий настрой конференции можно описать так: рынок постепенно уходит от логики бесконечных «технологических революций» и всё чаще смотрит на управляемость, интеграцию и практическую отдачу. Не просто внедрить ещё один модный инструмент, а понять, зачем он нужен, как впишется в существующую инфраструктуру и не создаст ли больше проблем, чем решит.

Много внимания уделили и прикладным кейсам. Представители компаний и команд SOC рассказывали, как выстраивают процессы управления уязвимостями, как выбирают SIEM, как переходят от разрозненных средств защиты к более связанным сценариям автоматизации и как вообще пытаются сохранить баланс между скоростью, качеством и бюджетом.

Отдельная дискуссия была посвящена, пожалуй, одной из самых болезненных тем для рынка: где в ИБ можно экономить, а где такая экономия потом обходится слишком дорого. Разговор шёл о границах допустимой оптимизации, соотношении инвестиций в людей и технологии и о том, чем может закончиться попытка «срезать лишнее» в чувствительных местах.

Технический трек при этом был максимально приземлённым. Там обсуждали уже не общие подходы, а реальные сценарии работы инженеров, SOC-аналитиков и архитекторов: мониторинг, threat hunting, реагирование на инциденты, настройку защитных систем. Параллельно работала и зона SIEM Lounge, где вживую показывали нагрузочное тестирование и проводили практические воркшопы по расследованию инцидентов.

Ещё один заметный итог конференции — подписание четырёх стратегических соглашений с участниками рынка. Но если вынести за скобки формальную часть, то главный вывод у мероприятия получился вполне содержательным: ИТ и ИБ всё больше движутся в сторону осознанной эффективности, где ценятся не громкие лозунги, а понятные процессы, связность решений и измеримый результат.

В целом R-EVOlution Conference 2026 показала довольно понятный настрой рынка: сейчас важнее не просто наращивать стек технологий, а учиться использовать его без перегруза — и для людей, и для инфраструктуры.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!