Хакеры расселись по личным кабинетам

1 декабря 2019
17
0

Веб-приложения оказались плохо защищены

Веб-приложения, то есть личные кабинеты пользователей на сайтах и интернет-банки, остаются слабым местом в рунете, выяснили в Positive Technologies. Хуже всего защищены сайты госучреждений и компаний из сферы телекоммуникаций. В случае с банками почти каждая четвертая атака начинается именно с веб-приложений, указывают эксперты.

В среднем в девяти из десяти российских веб-приложений злоумышленники имеют возможность атаковать пользователей, сообщается в отчете Positive Technologies за 2019 год (есть у “Ъ”). Компания проанализировала 38 сайтов, в том числе IT-компаний, финансовых организаций, сферы телекоммуникаций, промышленного сектора и госучреждений.

Веб-приложение подразумевает возможность пользователя не просто получать информацию на сайте, но и взаимодействовать с ней. К веб-приложениям относятся, например, личные кабинеты, социальные сети, системы электронной коммерции, интернет-банки.

Что говорят исследования

В среднем на одно веб-приложение в 2019 году приходилось 22 уязвимости, что в полтора раза ниже, чем по итогам 2018 года, следует из отчета. При этом половина исследованных сайтов содержит уязвимости «высокого уровня риска», что на 17 процентных пунктов ниже 2018 года.

В 68% приложений есть угроза утечки данных пользователей, в 39% возможен несанкционированный доступ, который в 8% случаев позволяет проводить атаки на локальную сеть организации, сообщается в отчете.

В 45% исследованных веб-приложений были обнаружены недостатки аутентификации, причем для одного из них потребовалось «всего 100 попыток», чтобы войти с правами администратора, так как небезопасная авторизация позволяла изменять содержимое профиля любого пользователя.

Хуже всего защищены сайты государственных учреждений: 68% из них обладают «низким уровнем» защиты, у остальных она «ниже среднего», сообщается в отчете. Также есть проблемы у компаний из сферы телекоммуникаций — более 70% их сайтов защищены еще хуже, чем сайты госучреждений, хотя 25% позаботились о защите «среднего» и «выше среднего» уровня.

Более трети выявленных нами компьютерных атак направлены непосредственно на получение доступа к финансовым средствам

Сложнее всего ситуация у региональных сервисов госуслуг, уточняет вице-президент группы InfoWatch Рустэм Хайретдинов. Он называет эту сферу «самой недофинансированной», так как защиту для нее «писали те, кто предложил меньшую цену на торгах, а потом снижали расходы, нанимая студентов».

В чём проблема

Сложность защиты веб-приложений в том, что логика поведения пользователей может быть непонятной для систем защиты, полагает эксперт. В таких случаях средства защиты часто используются в режиме мониторинга, за результатами которого «следят живые люди, которые определяют, что является атакой, а что — ложным срабатыванием».

«Для круглосуточного веб-сервиса нужно минимум четыре оператора, а это при нынешних зарплатах — от 5 млн руб. в год»,— поясняет господин Хайретдинов, отмечая, что небольшие компании и региональные госучреждения, как правило, не могут позволить себе большой штат таких специалистов.

В режиме мониторинга в 40% случаев работает и защита банковских приложений, указывает руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов. Он связывает это с тем, что динамика обновления достаточно высока исистема защиты «просто не успевает пройти полноценное обучение и автоматическую настройку». При этом даже специализированные средства защиты для веб-приложений не всегда дают стопроцентную защиту, уверен эксперт, отмечая, что в каждом пятом случае атаки на организации начинаются именно с веб-приложений, а в случае с банками можно говорить «почти о каждом четвертом эпизоде».

Где слабые места

Большинство атак на аутентификацию веб-приложений связано с тем, что пользователи устанавливают в них только пароль, считает аналитик компании Positive Technologies Ольга Зиненко. Отсутствие двухфакторной аутентификации (например, с подтверждением по коду с другого устройства) делает атаки простыми в реализации, проблема усугубляется тем, что пользователи «стараются придумать пароли попроще», добавляет она. Но и использование двухфакторной аутентификации «не способно радикально повысить уровень защищенности», возражает технический директор Trend Micro в России и СНГ Михаил Кондрашин. По его мнению, «печальная статистика» — все же скорее следствие «крайне небрежного подхода к безопасности при разработке».

Есть что рассказать об арбитраже трафика?
Стань автором ZorbasMedia!
Оставить заявку
Хотите получать все свежие новости, самую полезную информацию и быть в курсе всех новостей в мире арбитража? Подписывайтесь на новости от ZorbasMedia! Мы следим за тем, чтобы ничего интересного не прошло мимо вас!