Лишь в одной из десяти российских организаций осознают это
В 2020 году атаки на веб составили треть всех инцидентов информационной безопасности.
Однако только 10% российских организаций считают, что веб-приложения являются приоритетным элементом инфраструктуры для сканирования на уязвимости. Это следует из опроса «Ростелеком-Солар», посвященного трендам Vulnerability Management (VM).
Регулярные пентесты, проводимые специалистами компании, показывают, что больше половины (57%) веб-ресурсов имеют критические уязвимости, которые могут успешно использовать даже непрофессиональные хакеры.
В исследовании, которое проводилоcь в апреле-июне 2021 года, были опрошены представители 200 организаций разного масштаба и профиля (госсектор, финансы, промышленность, IT).
Согласно данным опроса, всего 7% организаций осознают значимость сканирования изолированного (т.е. не подключенного к интернету) сегмента ИТ-инфраструктуры. Например, это промышленные сети или закрытые государственные системы обмена данными.
Сканирование внешнего периметра считают важным 29% респондентов.
Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации.
И лишь десятая часть респондентов считает важным сканирование всех элементов инфраструктуры.
«Концентрация на одном из сегментов инфраструктуры приводит к существенному ослаблению безопасности другого. С одной стороны, именно уязвимости внутренних сетевых узлов хакеры используют для развития атаки внутри инфраструктуры (для кражи данных, влияния на технологические процессы и т. п.). С другой – компании, концентрируясь на внутренних уязвимостях, уделяют недостаточно внимания внешним, которые позволяют злоумышленникам проникнуть во внутренний контур, — отметил Максим Бронзинский, руководитель направления Vulnerability Management платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар». — По нашей оценке, 44% веб-приложений (например, корпоративные порталы, почтовые приложения) имеют некорректную настройку прав доступа, а 29% – возможности внедрения SQL-инъекций. Если говорить об изолированном контуре, то автоматические обновления ПО, которые закрывают многие уязвимости, здесь недоступны из-за отсутствия подключения к интернету. Это становится критично, так как ручной или полуручной процесс установки патчей отсутствует в 90% российских организаций».
В целом, согласно опросу, контроль уязвимостей в том или ином виде есть в 70% организаций. Однако в большинстве из них сканирование проводится недостаточно регулярно: более 60% компаний сканируют инфраструктуру раз в квартал или реже. Это, по оценкам специалистов «Ростелеком-Солар», не соответствует динамике появления новых уязвимостей. В то же время анализ критических серверов и рабочих компьютеров сотрудников проводится регулярнее. Раз в квартал и реже эти элементы инфраструктуры проверяют 40% респондентов, остальные – чаще.
Почти во всех организациях сканирование либо проводится автоматически (так ответили 41% респондентов), либо силами одного выделенного ИБ-специалиста (39%). Этого недостаточно для оперативной обработки полученных со сканера данных и формирования актуальных рекомендаций по закрытию найденных уязвимостей.
В то же время часть опрошенных указывает на проблемы во взаимодействии между ИБ-службами и ИТ-администраторами своих организаций в вопросах установки патчей. В 12% опрошенных компаний ИТ-службы никак не реагируют на запросы о проведении необходимых обновлений даже в период массовых атак-пандемий.
Регулярное сканирование обеспечивает, помимо прочего, инвентаризацию цифровых активов. Если же в компании отсутствует процесс управления уязвимостями и нет ресурсов на обработку полученных данных, в инфраструктуре возникают так называемые shadow IT – неучтенные и потому незащищаемые участки ИТ-ландшафта, которые могут использоваться хакерами для совершения атаки.