Компания «Ростелеком-Солар» представила результаты работ по контролю уязвимостей российских компаний в 2021 году. Всего в рамках исследования были проанализированы внутренние и внешние сетевые периметры, а также веб-приложения более 50 организаций из различных отраслей (ИТ, промышленность, ритейл, медицина, госструктуры). В итоге было выявлено более 150 тысяч уязвимостей, из них 7,5 тысяч (то есть 5%) уникальные. Большая часть (94%) последних имеет уровень критичности выше среднего, и для большого количества этих уязвимостей есть опубликованный эксплойт, что делает их доступным инструментом для злоумышленников. В текущих условиях закрытие таких уязвимостей становится для организаций критически важным условием базовой киберзащиты, предупреждают эксперты.
Результаты исследования
По данным специалистов «Ростелеком-Солар», для 75% уязвимостей, найденных в инфраструктурах организаций, есть простые способы устранения, включая патч-менеджмент. Однако они до сих пор остаются незакрытыми. Во внутреннем периметре встречаются уязвимости старше 20 лет. В среднем же окно возможностей злоумышленника составляет 10–12 лет — это разница между наиболее старой и наиболее новой уязвимостью с эксплойтом, обнаруженной в инфраструктуре. Среди наиболее известных уязвимостей, которые были выявлены во внутреннем периметре, – Log4j, BlueKeep, ShellShock, EternalBlue и т.п. И несмотря на то, что о них много говорили как ИБ-эксперты, так и широкая общественность, в ряде компаний они все еще остаются неисправленными.
В то же время на внешних периметрах компаний трендовых уязвимостей не обнаружено, но эксперты «Ростелеком-Солар» фиксируют проблемы с инвентаризацией. Кроме этого, все исследуемые компании используют небезопасные методы шифрования или испытывают трудности с сертификатами или конфигурацией, что может нарушить целостность данных и привести к их перехвату. Эта проблема может быть устранена выполнением корректных настроек. Веб-приложения также остаются достаточно уязвимыми перед злоумышленниками — а это популярный вектор проникновения в инфраструктуру. В 56% случаев обнаружились возможности для проникновения с помощью уязвимых и устаревших компонентов. Среди других ошибок: доступность SQL-инъекций в веб-приложениях и атак типа «межсайтовый скриптинг» (XSS), применение уязвимых конфигураций защиты, а также проблемы с шифрованием.
«Регулярный контроль уязвимостей мог бы значительно повысить кибербезопасность организаций, — напоминает руководитель направления Vulnerability Management компании «Ростелеком-Солар» Максим Бронзинский. — Эксплойты для старых и известных уязвимостей находятся в открытом доступе, и для злоумышленников не составляет труда их использовать. А сегодня, когда количество кибератак на российские компании растет, вероятность того, что хакеры найдут слабое место в инфраструктуре, увеличивается в разы. В итоге отсутствие такой простой вещи, как обновление, может обернуться для организации финансовыми и репутационными потерями, а также остановкой ключевых бизнес-процессов».
Уменьшение поверхности атаки
В связи с массовыми атаками в конце февраля и начале марта ФСТЭК выпустила рекомендации по уменьшению поверхности атаки, в которых отдельным пунктом есть требование по закрытию известных уязвимостей. Конечно, рекомендации Службы выполняются не быстро, но в данном случае попасть под массовую атаку было бы не очень хорошо, поэтому, скорее всего, первым действием всех служб ИБ была как раз установка обновлений для известных уязвимостей. Поэтому, вполне возможно, что сейчас результаты этого исследования могут оказаться не очень актуальными — компаниям пришлось заняться исправлениями ошибок как на внешнем периметре, так и во внутренней инфраструктуре. Однако это должны показать будущие исследования.
