Веб-приложения оказались плохо защищены

Веб-приложения, то есть личные кабинеты пользователей на сайтах и интернет-банки, остаются слабым местом в рунете, выяснили в Positive Technologies. Ситуация улучшается, но, по данным компании, злоумышленники все равно могут атаковать пользователей в среднем в девяти из десяти веб-приложений, а хуже всего защищены сайты госучреждений и компаний из сферы телекоммуникаций. В случае с банками почти каждая четвертая атака начинается именно с веб-приложений, указывают эксперты.

Об этом сообщает Руспрес


В среднем в девяти из десяти российских веб-приложений злоумышленники имеют возможность атаковать пользователей, сообщается в отчете Positive Technologies за 2019 год (есть у “Ъ”). Компания проанализировала 38 сайтов, в том числе IT-компаний, финансовых организаций, сферы телекоммуникаций, промышленного сектора и госучреждений.

Веб-приложение подразумевает возможность пользователя не просто получать информацию на сайте, а взаимодействовать с ней. К веб-приложениям относятся, например, личные кабинеты, социальные сети, системы электронной коммерции, интернет-банки.

В среднем на одно веб-приложение в 2019 году приходилось 22 уязвимости, что в полтора раза ниже, чем по итогам 2018 года, следует из отчета. При этом половина исследованных сайтов содержит уязвимости «высокого уровня риска», что на 17 процентных пунктов ниже 2018 года. В 68% приложений есть угроза утечки данных пользователей, в 39% возможен несанкционированный доступ, который в 8% случаев позволяет проводить атаки на локальную сеть организации, сообщается в отчете. В 45% исследованных веб-приложений были обнаружены недостатки аутентификации, причём для одного из них потребовалось «всего 100 попыток», чтобы войти с правами администратора, так как небезопасная авторизация позволяла изменять содержимое профиля любого пользователя.

Хуже всего защищены сайты государственных учреждений: 68% из них обладают «низким уровнем» защиты, у остальных она «ниже среднего», сообщается в отчете. Также есть проблемы у компаний из сферы телекоммуникаций — более 70% их сайтов защищены ещё хуже, чем сайты госучреждений, хотя 25% позаботились о защите «среднего» и «выше среднего» уровня.

Николай Мурашов, замначальника Национального координационного центра по компьютерным инцидентам ФСБ («РИА Новости», 30 января)
Николай Мурашов, замначальника Национального координационного центра по компьютерным инцидентам ФСБ («РИА Новости», 30 января)

Более трети выявленных нами компьютерных атак направлены непосредственно на получение доступа к финансовым средствам

Сложнее всего ситуация у региональных сервисов госуслуг, уточняет вице-президент группы InfoWatch Рустэм Хайретдинов. Он называет эту сферу «самой недофинансированной», так как защиту для неё «писали те, кто предложил меньшую цену на торгах, а потом снижали расходы, нанимая студентов». Сложность защиты веб-приложений в том, что логика поведения пользователей может быть непонятной для систем защиты, полагает эксперт. В таких случаях средства защиты часто используются в режиме мониторинга, за результатами которого «следят живые люди, которые определяют, что является атакой, а что — ложным срабатыванием». «Для круглосуточного веб-сервиса нужно минимум четыре оператора, а это при нынешних зарплатах — от 5 млн руб. в год»,— поясняет господин Хайретдинов, отмечая, что небольшие компании и региональные госучреждения, как правило, не могут позволить себе большой штат таких специалистов.

Как пользователи госуслуг утекли в сеть

В режиме мониторинга в 40% случаев работает и защита банковских приложений, указывает руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов. Он связывает это с тем, что динамика обновления ключевых банковских приложений достаточно высока и система защиты «просто не успевает пройти полноценное обучение и автоматическую настройку». При этом даже специализированные средства защиты для веб-приложений не всегда дают стопроцентную защиту, уверен эксперт, отмечая, что в каждом пятом случае атаки на организации начинаются именно с веб-приложений, а в случае с банками можно говорить «почти о каждом четвертом эпизоде».

Большинство атак на аутентификацию веб-приложений связано с тем, что пользователи устанавливают в них только пароль, считает аналитик компании Positive Technologies Ольга Зиненко. Отсутствие двухфакторной аутентификации (например, с подтверждением по коду с другого устройства) делает атаки простыми в реализации, проблема усугубляется тем, что пользователи «стараются придумать пароли попроще», добавляет она. Но и использование двухфакторной аутентификации «не способно радикально повысить уровень защищенности», возражает технический директор Trend Micro в России и СНГ Михаил Кондрашин. По его мнению, «печальная статистика» — все же скорее следствие «крайне небрежного подхода к безопасности при разработке».

Юлия Степанова


Как в России персональные данные утекают через сферу образования

В октябре в нескольких подмосковных школах ученики восьмых классов прошли тест на выявление профессиональных навыков. Для этого представители корпоративного университета «Синергия» сняли их отпечатки пальцев. После разразившегося скандала и заявления Роскомнадзора о начале проверки в вузе заявили, что не имеют отношения к тесту, хотя договоры на проведение профориентационных мероприятий у «Синергии» заключены сразу с несколькими подмосковными учебными заведениями. О том, чем отличается «узор пальчика» и «отпечаток пальца», почему школьники ответственны почти за половину осенних DDoS-атак и как государство собирает и анализирует персональные данные через образовательные системы — в материале корреспондента “Ъ” Ксении Мироновой.

Читать далее


Источник: “https://www.kommersant.ru/doc/4252233”

ТОП новости

Вход

Меню пользователя