Как прошёл год у нас в T.Hunter? Одним словом, продуктивно.

Ушедший 2024-й год наделал немало шума в сфере кибербезопасности, и мы не остались в стороне: проведя множество пентестов и выявив сотни уязвимостей, по нашему скромному мнению, мы внесли значительный вклад в укрепление безопасности наших клиентов, помогая им защититься от актуальных угроз.

Анализ запросов клиентов позволил выделить несколько ключевых трендов и интересов, которые были выявлены в ходе пентеста. В этой статье мы подведём итоги нашего года, поделимся результатами, а также подсветим наиболее актуальные угрозы в сфере кибербезопасности, с которыми мы столкнулись в процессе нашей работы.

? Кто нам доверился

За прошедший год мы успешно завершили 22 проекта по проведению тестирований на проникновение для компаний из различных отраслей. Среди них в сфере e-commerce было выполнено 36% от всех проектов, в сфере информационных технологий — 27%, столько же в области промышленности и производства, в отрасли логистики — 9% от всех проектов.

Такое распределение проектов в нашей практике свидетельствует о явном интересе компаний из сферы электронной коммерции к оценке уровня своей защищённости, но ИТ-компании и предприятия промышленного сектора также не остаются в стороне.

E-commerce остаётся одной из cфер, где проведение пентестов наиболее востребовано по причине высоких рисков, вызванных ростом числа угроз. В первую очередь они связаны с увеличением числа онлайн-платформ и мобильных приложений на фоне активного развития онлайн-продаж и омниканальных сервисов. Большой поток транзакций, куча платёжных систем и море персональных данных неизбежно притягивают потенциальных злоумышленников. Поэтому без регулярных пентестов не обойтись — они помогают вовремя выявлять слабые места и держать данные под защитой.

Сфера ИТ всегда была в фокусе киберугроз, и 2024-й год не стал исключением. Особенно это касается компаний, которые предлагают облачные услуги, разрабатывают программное обеспечение или предоставляют критически важные IT-ресурсы для других отраслей.

Как и в сфере ИТ, компании промышленного сектора также проявили интерес к пентестам. В условиях быстрого внедрения новых технологий и роста киберугроз они, как никто другой, всё больше осознают важность регулярных проверок своих систем на уязвимости для обеспечения их безопасности.

? Какие пентесты были интересны клиентам

? Наибольший интерес у наших клиентов вызвала проверка безопасности внешнего периметра: такую проверку провели почти в каждом проекте — ею интересовались 77% наших клиентов. Это говорит о том, что компании всё отчетливее понимают, насколько важно защитить свои внешние системы и инфраструктуру от угроз, приходящих извне.

? Не менее интересными для них стали и запросы на тестирование внутренних систем: 55% обратившихся к нам компаний захотели узнать оценку безопасности своей внутренней инфраструктуры. Это показывает, что организациям действительно важно понимать как защититься от угроз, исходящих от внутренних нарушителей. Внутренние угрозы, будь то недобросовестное поведение сотрудников или ошибки в программном обеспечении, становятся всё более насущной проблемой.

? По результатам анализа запросов клиентов мы также определили, что 45% решили оценить безопасность веб-приложений. Проведённые пентесты подчеркнули актуальность их защиты, так как они нередко становятся удобными точками входа для потенциальных злоумышленников.

? 40% наших клиентов интересовались вопросами безопасности беспроводных сетей и оценкой осведомлённости своих сотрудников в области информационной безопасности и их способностью распознавать фишинговые атаки.

? Самым непопулярным видом тестирования по итогам года стало тестирование мобильных приложений — им интересовались только 27% клиентов. Обусловлено это тем, что далеко не у всех компаний есть собственные приложения для смартфонов. К тому же бизнес чаще делает акцент на защите внешнего периметра и внутренних систем, где риски проникновения выглядят более очевидными и масштабными.

? Оценка уровня защищенности

? У 90% наших клиентов оценка защищенности внешнего сетевого периметра оказалась низкой. Это свидетельствует о наличии значительных уязвимостей на границе сети, с помощью которых потенциальный злоумышленник может её преодолеть.

? Внутренняя инфраструктура оказалась уязвимой у 100% организаций. Это говорит о наличии множества слабых мест, которые могут быть использованы внутренними нарушителями для атак внутри компании. А также свидетельствует о недостаточной защите критически важных систем, которые обеспечивают работу компании, и повышает риски несанкционированного доступа к данным и ресурсам.

? Анализ веб-приложений наших клиентов показал низкий уровень безопасности у 56% из них. Это может привести к рискам утечек данных, а также нарушению работы онлайн-сервисов, что в свою очередь повлияет на репутацию компании и доверие пользователей.

? Беспроводные сети у 63% наших клиентов получили низкую оценку. Это также создаёт уязвимости, которые могут стать точками входа для атак через беспроводные технологии. И повышает риски несанкционированного доступа и компрометации корпоративных данных.

? Мобильные приложения в целом получили лишь среднюю оценку уровня защищенности. Это подчёркивает необходимость усиления защиты, особенно в условиях активного внедрения мобильных технологий в рабочие процессы.

По итогам пентестов внешний периметр был успешно преодолён в 90% проектов. А в 100% проектов удалось повысить привилегии во внутренней инфраструктуре и получить доступ к контроллеру домена, что фактически означало полный захват корпоративной сети.

? Какие уязвимости были обнаружены

Распределение уязвимостей по уровням риска

В ходе анализа проведённых тестирований за прошлый год было выявлено следующее распределение уязвимостей по уровням риска согласно стандарту CVSS 4.0:
55% среднего, 35% высокого, 9% критического и 1% низкого уровня риска.

? 43% — внешний периметр. Наибольшее число уязвимостей было обнаружено на внешних сетевых ресурсах.

? 21% — внутренняя корпоративная сеть. Значительная часть обнаруженных уязвимостей находится внутри корпоративной сети.

? 28% — веб-приложения. Веб-приложения остаются привлекательной мишенью для атак.

? 2% — мобильные приложения. Небольшой процент дефектов в этой области может быть объяснён ограниченной долей мобильных решений у компаний.

? 6% — беспроводные сети. Уязвимости в беспроводных сетях обнаружены в меньшем объёме, но остаются критически важными.

Фишинговые проверки сотрудников

? При анализе результатов социотехнических тестирований было определено следующее:

• 60% тестируемых сотрудников организаций стали жертвами фишинговых атак.

• 18% осуществили переход по вредоносным ссылкам.

• 9% пользователей ввели свои учетные данные на фишинговых страницах.

• только 1% сотрудников сообщил о подозрительной активности в отдел информационных технологий.

Топ уязвимостей в объектах тестирования

? По результатам тестирований внешнего периметра было выявлено, что 21% всех обнаруженных уязвимостей связаны с раскрытием информации. Они позволяют потенциальному злоумышленнику получить конфиденциальные данные, включая технические детали системы, структуру сети, версии программного обеспечения и учетные записи, что значительно облегчает проведение дальнейших атак.

? Что касается безопасности внутренней инфраструктуры, 27% выявленных уязвимостей связаны с хранением учетных данных в открытом виде. Это увеличивает вероятность утечек данных и позволяет потенциальному злоумышленнику получить полный контроль над системами компании.

? В веб-приложениях 15% обнаруженных уязвимостей связаны с раскрытием информации. На втором месте уязвимости, связанные с перечислением пользователей и использованием устаревших или уязвимых компонентов. На эти две категории пришлось по 11% от общего числа всех выявленных в веб-приложениях уязвимостей.

? В соответствии с рейтингом OWASP Top 10 (2021) уязвимости в веб-приложениях выстроились в следующий Топ-3:

1. 27% всех уязвимостей были связаны с ошибками идентификации и аутентификации.

2. 21% — с небезопасной конфигурацией.

3. 17% — уязвимости, связанные с нарушением контроля доступа.

? При тестировании беспроводных сетей наиболее часто выявленные уязвимости — использование словарных паролей и повторное использование паролей. С их помощью потенциальный злоумышленник может получить доступ к беспроводным сетям, а затем продолжить атаки на другие системы или ресурсы компании.

? В мобильных приложениях уязвимости связаны с небезопасным хранением данных в файлах приложения и в автоматических снимках экрана приложения. Эксплуатируя их, потенциальный злоумышленник может легко получить доступ к личной информации, что повышает риск утечек и компрометации устройства.

? Согласно рейтингу OWASP Mobile Top 10 (2024) 86% всех обнаруженных уязвимостей в мобильных приложениях связаны с некорректной обработкой сеансов пользователей. Оставшиеся 14% обусловлены отсутствием достаточных мер для защиты кода и исполняемых файлов мобильных приложений.

В заключение можно отметить, что результаты наших пентестов за последний год ясно показывают: системы остаются уязвимыми — будь то внешние периметры, внутренние сети, веб-приложения, беспроводные сети или мобильные решения. Выявленные слабые места подтверждают, что регулярное тестирование и постоянное обновление мер защиты — это не роскошь, а необходимость в условиях постоянного совершенствования методов атак.

А мы уже здесь, на страже вашей безопасности, и готовы оперативно выявлять уязвимости и предлагать эффективные меры защиты, чтобы вы не стали следующей целью для злоумышленников.