Веб-приложения, то есть личные кабинеты пользователей на сайтах и интернет-банки, остаются слабым местом в рунете, выяснили в Positive Technologies.
Ситуация улучшается, но, по данным компании, злоумышленники все равно могут атаковать пользователей в среднем в девяти из десяти веб-приложений, а хуже всего защищены сайты госучреждений и компаний из сферы телекоммуникаций. В случае с банками почти каждая четвертая атака начинается именно с веб-приложений, указывают эксперты.
В среднем в девяти из десяти российских веб-приложений злоумышленники имеют возможность атаковать пользователей, сообщается в отчете Positive Technologies за 2019 год (есть у “Ъ”). Компания проанализировала 38 сайтов, в том числе IT-компаний, финансовых организаций, сферы телекоммуникаций, промышленного сектора и госучреждений.
Веб-приложение подразумевает возможность пользователя не просто получать информацию на сайте, а взаимодействовать с ней. К веб-приложениям относятся, например, личные кабинеты, социальные сети, системы электронной коммерции, интернет-банки.
В среднем на одно веб-приложение в 2019 году приходилось 22 уязвимости, что в полтора раза ниже, чем по итогам 2018 года, следует из отчета. При этом половина исследованных сайтов содержит уязвимости «высокого уровня риска», что на 17 процентных пунктов ниже 2018 года. В 68% приложений есть угроза утечки данных пользователей, в 39% возможен несанкционированный доступ, который в 8% случаев позволяет проводить атаки на локальную сеть организации, сообщается в отчете. В 45% исследованных веб-приложений были обнаружены недостатки аутентификации, причем для одного из них потребовалось «всего 100 попыток», чтобы войти с правами администратора, так как небезопасная авторизация позволяла изменять содержимое профиля любого пользователя.
Хуже всего защищены сайты государственных учреждений: 68% из них обладают «низким уровнем» защиты, у остальных она «ниже среднего», сообщается в отчете. Также есть проблемы у компаний из сферы телекоммуникаций — более 70% их сайтов защищены еще хуже, чем сайты госучреждений, хотя 25% позаботились о защите «среднего» и «выше среднего» уровня.
Сложнее всего ситуация у региональных сервисов госуслуг, уточняет вице-президент группы InfoWatch Рустэм Хайретдинов. Он называет эту сферу «самой недофинансированной», так как защиту для нее «писали те, кто предложил меньшую цену на торгах, а потом снижали расходы, нанимая студентов». Сложность защиты веб-приложений в том, что логика поведения пользователей может быть непонятной для систем защиты, полагает эксперт. В таких случаях средства защиты часто используются в режиме мониторинга, за результатами которого «следят живые люди, которые определяют, что является атакой, а что — ложным срабатыванием». «Для круглосуточного веб-сервиса нужно минимум четыре оператора, а это при нынешних зарплатах — от 5 млн руб. в год»,— поясняет господин Хайретдинов, отмечая, что небольшие компании и региональные госучреждения, как правило, не могут позволить себе большой штат таких специалистов.
В режиме мониторинга в 40% случаев работает и защита банковских приложений, указывает руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов. Он связывает это с тем, что динамика обновления ключевых банковских приложений достаточно высока и система защиты «просто не успевает пройти полноценное обучение и автоматическую настройку». При этом даже специализированные средства защиты для веб-приложений не всегда дают стопроцентную защиту, уверен эксперт, отмечая, что в каждом пятом случае атаки на организации начинаются именно с веб-приложений, а в случае с банками можно говорить «почти о каждом четвертом эпизоде».
Большинство атак на аутентификацию веб-приложений связано с тем, что пользователи устанавливают в них только пароль, считает аналитик компании Positive Technologies Ольга Зиненко. Отсутствие двухфакторной аутентификации (например, с подтверждением по коду с другого устройства) делает атаки простыми в реализации, проблема усугубляется тем, что пользователи «стараются придумать пароли попроще», добавляет она. Но и использование двухфакторной аутентификации «не способно радикально повысить уровень защищенности», возражает технический директор Trend Micro в России и СНГ Михаил Кондрашин. По его мнению, «печальная статистика» — все же скорее следствие «крайне небрежного подхода к безопасности при разработке».
Источник: audit-it.ru