01 декабря 2019 0 комментариев

Хакеры расселись по личным кабинетам

Веб-приложения оказались плохо защищены

Веб-приложения, то есть личные кабинеты пользователей на сайтах и интернет-банки, остаются слабым местом в рунете, выяснили в Positive Technologies. Хуже всего защищены сайты госучреждений и компаний из сферы телекоммуникаций. В случае с банками почти каждая четвертая атака начинается именно с веб-приложений, указывают эксперты.

В среднем в девяти из десяти российских веб-приложений злоумышленники имеют возможность атаковать пользователей, сообщается в отчете Positive Technologies за 2019 год (есть у “Ъ”). Компания проанализировала 38 сайтов, в том числе IT-компаний, финансовых организаций, сферы телекоммуникаций, промышленного сектора и госучреждений.

Веб-приложение подразумевает возможность пользователя не просто получать информацию на сайте, но и взаимодействовать с ней. К веб-приложениям относятся, например, личные кабинеты, социальные сети, системы электронной коммерции, интернет-банки.

Что говорят исследования

В среднем на одно веб-приложение в 2019 году приходилось 22 уязвимости, что в полтора раза ниже, чем по итогам 2018 года, следует из отчета. При этом половина исследованных сайтов содержит уязвимости «высокого уровня риска», что на 17 процентных пунктов ниже 2018 года.

В 68% приложений есть угроза утечки данных пользователей, в 39% возможен несанкционированный доступ, который в 8% случаев позволяет проводить атаки на локальную сеть организации, сообщается в отчете.

В 45% исследованных веб-приложений были обнаружены недостатки аутентификации, причем для одного из них потребовалось «всего 100 попыток», чтобы войти с правами администратора, так как небезопасная авторизация позволяла изменять содержимое профиля любого пользователя.

Хуже всего защищены сайты государственных учреждений: 68% из них обладают «низким уровнем» защиты, у остальных она «ниже среднего», сообщается в отчете. Также есть проблемы у компаний из сферы телекоммуникаций — более 70% их сайтов защищены еще хуже, чем сайты госучреждений, хотя 25% позаботились о защите «среднего» и «выше среднего» уровня.

Более трети выявленных нами компьютерных атак направлены непосредственно на получение доступа к финансовым средствам

Сложнее всего ситуация у региональных сервисов госуслуг, уточняет вице-президент группы InfoWatch Рустэм Хайретдинов. Он называет эту сферу «самой недофинансированной», так как защиту для нее «писали те, кто предложил меньшую цену на торгах, а потом снижали расходы, нанимая студентов».

В чём проблема

Сложность защиты веб-приложений в том, что логика поведения пользователей может быть непонятной для систем защиты, полагает эксперт. В таких случаях средства защиты часто используются в режиме мониторинга, за результатами которого «следят живые люди, которые определяют, что является атакой, а что — ложным срабатыванием».

«Для круглосуточного веб-сервиса нужно минимум четыре оператора, а это при нынешних зарплатах — от 5 млн руб. в год»,— поясняет господин Хайретдинов, отмечая, что небольшие компании и региональные госучреждения, как правило, не могут позволить себе большой штат таких специалистов.

В режиме мониторинга в 40% случаев работает и защита банковских приложений, указывает руководитель отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексей Павлов. Он связывает это с тем, что динамика обновления достаточно высока исистема защиты «просто не успевает пройти полноценное обучение и автоматическую настройку». При этом даже специализированные средства защиты для веб-приложений не всегда дают стопроцентную защиту, уверен эксперт, отмечая, что в каждом пятом случае атаки на организации начинаются именно с веб-приложений, а в случае с банками можно говорить «почти о каждом четвертом эпизоде».

Где слабые места

Большинство атак на аутентификацию веб-приложений связано с тем, что пользователи устанавливают в них только пароль, считает аналитик компании Positive Technologies Ольга Зиненко. Отсутствие двухфакторной аутентификации (например, с подтверждением по коду с другого устройства) делает атаки простыми в реализации, проблема усугубляется тем, что пользователи «стараются придумать пароли попроще», добавляет она. Но и использование двухфакторной аутентификации «не способно радикально повысить уровень защищенности», возражает технический директор Trend Micro в России и СНГ Михаил Кондрашин. По его мнению, «печальная статистика» — все же скорее следствие «крайне небрежного подхода к безопасности при разработке».


Этот текст скопирован с сайта https://zorbasmedia.ru
Автор:

Есть, что рассказать об арбитраже трафика? Стань автором ZorbasMedia!

 

Избранные статьи
Вы в ответе за тех, кого хакнули Все, кто покупал брут аккаунты в Facebook хотя бы раз задумывались о том, насколько это законно и что будет, если владелец аккаунта подаст в суд. Мы решили взять комментарий у юриста и разложить все полочкам.
В рекламном семействе Google пополнение Около года назад Google заявил о разработке и начале тестирования нового рекламного формата Discovery. Совсем недавно этот формат наконец появился в общем доступ. О том, зачем Google осваивает социальные сети — читайте в материале.
ZM CONF в цифрах Рассказываем, как прошла конференция и благодарим наших партнеров.
Комментарии
Нет комментариев
Оставьте комментарий
Ответ на комментарий: ....
На этом сайте используются файлы cookie. Закрыв это сообщение и продолжая просмотр сайта, вы разрешаете их использование.