Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Александр Панасенко 08 Августа 2017 - 17:46

...

Более 40% сайтов промышленных компаний уязвимы для хакерских атак

Более половины современных сайтов содержат критически опасные уязвимости, которые позволяют злоумышленникам проводить различные атаки, включая отказ в обслуживании и кражу персональных данных. Такие выводы содержатся в исследовании компании Positive Technologies на основе работ по анализу защищенности веб-приложений за 2016 год.

Как следует из отчета, практически все исследованные веб-приложения (94%) позволяют осуществлять атаки на пользователей, и неудивительно ― половина уязвимостей, вошедших в десятку самых распространенных, используются именно для таких атак. Доступ к персональным данным был получен в 20% приложений, обрабатывающих такие данные (включая сайты банков и государственных организаций).

Больше всего веб-приложений с уязвимостями высокого уровня риска найдено среди сайтов телекоммуникационных компаний (74%). Если же оценивать уровень защищенности в зависимости от возможных последствий, то хуже всего ситуация в промышленности (43% сайтов отличаются крайне низкой степенью защищенности) и в электронной коммерции (34%).

Исследователи отмечают, что уязвимости публичных сайтов по-прежнему являются популярным способом проникновения во внутреннюю инфраструктуру компании: каждое четвертое веб-приложение позволяет проводить такие атаки. Кроме того, четверть веб-приложений содержат уязвимости, позволяющие стороннему злоумышленнику получить доступ к базам данных.

Еще одно важное наблюдение ― веб-приложения, находящиеся в процессе эксплуатации, оказались более уязвимыми, чем тестовые: критически опасные уязвимости выявлены в 55% продуктивных систем и в 50% тестовых систем.

«Это свидетельствует о том, что необходимо проводить анализ защищенности не только в процессе разработки, но и после внедрения в эксплуатацию, ― комментирует Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies. ― Для защиты уже эксплуатируемых приложений рекомендуется использовать межсетевые экраны уровня приложений (web application firewalls)».

В исследовании также представлено сравнение эффективности различных методов анализа защищенности приложений («белый ящик» против «черного ящика») и приведены примеры выявления уязвимостей автоматизированным анализатором кода PT Application Inspector.

«Анализ исходного кода показывает намного более высокие результаты, чем исследование защищенности без доступа к коду приложения, ― отмечает Евгений Гнедин. ― Кроме того, тестирование исходного кода в процессе разработки позволяет значительно повысить защищенность конечного приложения. Для анализа исходного кода на различных стадиях разработки целесообразно применять автоматизированные средства, поскольку это позволяет выявить максимальное число ошибок в кратчайшее время».

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Мая 2026 - 12:51

Трояны Фишинг Мошенничество Онлайн-мошенничество Малый и средний бизнес Корпорации Лаборатория Касперского

Компании в России атакуют письмами о доследственной проверке рабочего места

«Лаборатория Касперского» обнаружила новую схему атак на крупные российские организации. Злоумышленники рассылают сотрудникам письма, которые выглядят как официальные обращения от правоохранительных органов. В них говорится о необходимости провести техническое исследование рабочего компьютера из-за якобы киберинцидента.

На деле никакой проверки нет. Цель атаки — заставить сотрудника запустить вредоносную программу.

Сценарий построен так, чтобы выглядеть максимально убедительно. В письме могут быть PDF-документы с названиями вроде «уведомление об инциденте информационной безопасности» или «постановление о проведении доследственной проверки по факту незаконной передачи данных». Получателя отдельно просят не рассказывать о проверке другим людям, это важная часть манипуляции.

В одном из вариантов жертве предлагают заполнить анкету с вопросами о рабочем компьютере, действиях сотрудника в определённые даты, сбоях в работе устройства, личных данных, программах удалённого управления и средствах обхода блокировок. Затем человеку могут прислать ещё один документ — якобы согласие на техническое исследование АРМ.

После этого приходит следующее письмо уже с программой, которую нужно запустить для проверки. На самом деле это троян. Попав в корпоративную сеть, он помогает злоумышленникам проводить разведку инфраструктуры. Конечная цель атаки — подготовить шифрование систем компании и потребовать выкуп.

Документы оформлены так, чтобы не выглядеть кустарно: в них есть юридические формулировки, ссылки на законы, регистрационные номера, даты, подписи и визуальные элементы вроде герба. Для сотрудника, который не сталкивался с настоящими процедурами проверок, всё это может выглядеть вполне официально.

В «Лаборатории Касперского» отмечают, что раньше подобные сценарии чаще встречались в телефонном мошенничестве против частных лиц. Теперь же злоумышленники переносят те же приёмы в атаки на бизнес: давят авторитетом правоохранителей, создают ощущение срочности и заставляют человека нарушить внутренние правила безопасности.

Главная опасность в том, что сотрудник может не обратиться в ИБ-службу, потому что считает происходящее официальной процедурой. А именно на это атакующие и рассчитывают.

Эксперты советуют не открывать вложения и не запускать программы из писем о проверках, расследованиях и других срочных действиях от неизвестных отправителей. Любые такие обращения нужно перепроверять через внутреннюю службу безопасности или ИБ-отдел компании.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!