«Информзащита»: внешний периметр становится более защищённым

Компания «Информзащита» опубликовала результаты тестов на проникновения, выполненных для ее клиентов. Статистика приведена более чем по 50 клиентам, в основном – финансовым организациям. Как отметил начальник отдела анализа защищенности «Информзащиты» Захар Федоткин, «свыше половины компаний относятся к финансовому сектору, который в наибольшей степени заинтересован в пентестах. Причины – две: требования регуляторов (в частности, стандарта PCI DSS) и возможные финансовые потери, напрямую связанные с уровнем защищенности компании». Кроме того, при изучении уязвимостей к услугам экспертов «Информзащиты» прибегали государственные учреждения, телеком операторы, ритейлеры и девелоперы.

Как установили аналитики «Информзащиты», только 20% проверенных клиентов имели серьёзные уязвимости в публичных веб-приложениях. Основной уязвимостью, которая встречалась в 38% случаев, оказался межсайтовый скриптинг (Cross-Site Scripting). Он позволяет формировать такие URL, при переходе по которым жертва инициирует исполнение от ее имени злонамеренных кодов в уязвимых системах. Правда, для эксплуатации этих уязвимостей злоумышленник должен дополнительно пользоваться методами социальной инженерии, а потому данные проблемы традиционно считаются не очень серьезными.

Однако Захар Федоткин придерживается иного мнения: «Уязвимость Cross-Site Scripting многие до сих пор считают несерьезной, не уделяя ей должного внимания.  Мы уверены, что это – в корне неверный подход, поскольку Cross-Site Scripting позволяет получать доступ к важным данным и выполнять действия от имени пользователя».

По словам экспертов «Информзащиты», внутренние приложения более уязвимы, чем внешние: в них все ещё находят уязвимости, которые были исправлены в 2008 г. При этом в 70% случаев обнаружено использование паролей по умолчанию, а в половине обследованных систем – применение в протоколе SNMP легко предсказуемых, что позволяет перехватывать управление сетевым оборудованием. Ещё в 40% случаев зафиксированы уязвимости в протоколе SMB (MS08-067) и открытый доступ к сервису X.11. Таким образом,  большинство клиентов уделяют основное внимание внешнему контуру защиты, но если злоумышленник уже проник за него, он может без труда получить контроль над внутренними системами с помощью учетных записей по умолчанию или эксплойтов достаточно старых уязвимостей.

Собственно, результаты исследования, опубликованные «Информзащитой», коррелируют с данными Positive Technologies, которые мы обсуждали в сентябре прошлого года. Правда, тогда была собрана статистика лишь по 14 компаниям.