IT-системы российских промышленных компаний, госструктур, банков и телекоммуникационных операторов в 20% случаев содержат критически опасные уязвимости, связанные с необновленным ПО, показало исследование Positive Technologies. При этом обновления, которые игнорируются компаниями, зачастую выпущены уже много лет назад. Получить полный контроль над критически важными ресурсами компаний от лица нарушителя даже с минимальными знаниями удалось более чем в половине проведенных тестов.
IT-системы крупных российских структур, среди которых промышленные компании, госорганы, банки и телекоммуникационные операторы, в 40% случаев содержат критически опасные уязвимости, связанные с недостатками конфигурации, следует из отчета Positive Technologies за 2016 год. 27% систем обладают критически опасными уязвимостями, связанными с ошибками в коде веб-приложений, 20% — уязвимостями из-за неустановки обновлений софта.
При этом информация о самой старой из обнаруженных уязвимостей, а также обновление, решающее проблему с ней, были опубликованы более 17 лет назад. «Уязвимость связана с тем, что DNS-сервер поддерживает рекурсию запросов. В результате эксплуатации данной уязвимости злоумышленник может проводить атаки на отказ в обслуживании»,— утверждают авторы отчета. Средний возраст наиболее устаревших неустановленных обновлений по системам, где такие уязвимости были обнаружены, составляет девять лет, следует из отчета.
В ходе тестов, проведенных Positive Technologies в 2016 году, выяснилось, что в 55% случаев внешний нарушитель, обладающий минимальными знаниями и довольно низкой квалификацией, способен преодолеть периметр и получить доступ к ресурсам в локальной сети компании. Для этого в среднем необходимо найти только две уязвимости в используемом компанией ПО.
«В 77% работ сетевой периметр удалось преодолеть из-за уязвимостей веб-приложений, а в 23% — из-за уязвимостей, связанных с использованием словарных паролей»,— рассказали в компании. В результате более чем в половине случаев от лица внешнего нарушителя удалось получить полный контроль над критически важными ресурсами компаний, такими как система Active Directory, СУБД, ERP-система и др.
В целом объекты критической инфраструктуры, к которой, согласно законопроекту, рассматриваемому Госдумой, предлагается отнести IT-системы банков, телеком-операторов и промышленных предприятий, в 2016 году подверглись 70 млн кибератак, сообщал в январе представитель ФСБ. При этом объем средств, похищенных хакерами только из российских банков, по данным Group-IB, составил за тот же период 5,53 млрд руб. В банке данных угроз безопасности информации, который с марта 2015 года ведет Федеральная служба по техническому и экспортному контролю, на данный момент находится информация о 16,5 тыс. уязвимостей в ПО, используемом при создании государственных IT-систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Системное или прикладное ПО без необходимых обновлений стоит примерно в девяти из десяти компаний, уверен руководитель аналитического центра Zecurion Владимир Ульянов. «Причин для этого много. В некоторых компаниях боятся, что после обновления какой-то компонент откажется работать или начнет работать неправильно. Принцип “работает — не трожь” до сих пор одна из главных догм системных администраторов»,— поясняет господин Ульянов. Он добавляет, что большое количество оборудования, разнообразие используемых систем, территориально удаленные филиалы и устаревшие системы также приводят к тому, что какие-то компоненты не обслуживаются IT-специалистами должным образом.
Мария Коломыченко
Комментарии
А причины он не назвал?
Причины?
Причины в том что Positive Technologies задрал стоимость своего сканера уязвимостей до небес :-)
Они разработчики сканера MaxPatrol. Один из лучших. Если не лучший.
Но попробуй его купи)
Останешься без штанов)
З.ы.
На самом деле это просто скрытая реклама своего продукта. Покупайте наших слонов!
Ну раз так, то статью о проблемах в отрасли на примере нашей компании я писать не стану. Пусть будет скрытая реклама Positive Technologies - основной выявитель траблов у наших айтишников))
Народ обновляет все постоянно и потом удивляется почему перестают работать старые программы. Есть программы например Nero. Последняя удачная версия была 2007 года. Все в одном.
А сейчас ты условно берешь обложку с оглавлением, а листы покупаешь отдельно. Маразм.
Простите, а зачем сейчас Nero?
Разговор идет о том, что системы не обновляют. Стандартными, бесплатными обновлениями. Каждый сисадмин, ведь лучше знает, какое обновление установить.... точнее знает, что лучше обновления не устанавливать. Там ведь слежка и шпионы кругом.
Эта программа нужна была в свое время для учебы в универе на звукорежиссера. Там по тем временам был нормальный фотошоп, редакторы. Сейчас уже не занимаюсь, но когда увидел новую версию, то скачал и обнаружил, что это просто обложка, а все остальное надо за деньги.
В одной крупной американской конторе, автоматические обновления запрещены под страхом смерти)
Ни одно обновление не устанавливается пока не пройдёт внутренний аудит. Есть даже чёрный список обновлений)
Все это дело не из-за того что бояться слежки иле ещё чего, а потому что непроверенное обновление может запросто положить критически важные системы.
Программисты они ведь как дети) В одном месте чинят, в другом ломают)
Обновлений это тоже касается.
Это да, полностью согласен... Только большинство, не - "одна крупная американская контора".
Что на РЖД творилось 10 лет назад с ит-безопасностью - это непередаваемо. Этих ребят спасала (совсем не до конца) только изоляция сетей на физическом уровне. Интересно, поменялось что за это время или нет.
Дык, это единственный способ. И то...
Все эти страшилки, об удаленном взломе компьютеров, с закладками это страшилки. Ну как страшилки... Дыры есть, от этого никуда не деться, но это обоюдоострый меч. Гораздо проще по старинке, "социальной инженерией"
Дык, о чем говорить, когда "среднестатистический сисадмин-родственник" накатывает ZverCD, чтоб не парится, так-как там все есть.
Не...Зверь он тока ХРюшу выдаёт...А если 7-ку, то к Горскому.
Просто не надо экономить на админах. Сначала опустят зп админа со 80-120 до 40-60 а потом удивляются а почему. А вот как раз поэтому.
Просто в ИТ это видно быстро. В других отраслях -- не быстро. И замена квалифицированных дорогих сотрудников дешевыми гастарбайтерами аукнется. Собственно две смерти в вялых парусах это туда же.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Обновиться... Хэх! "Горбатого - могила исправит!" - так у нас говорят. "Недокументированных" бакдорсов в проприетарном софте (система - особенно) должно быть "с запасом".
Никогда, никогда не получал с обновлением что - то хорошее :) Последний опыт: обновил дрова для видеокарты (с оф. сервера по приложению радеона) у сына половина игрушек не запускается :)
какое отношение этот тупой шаблонный текст делает на Пульсе? снесите в блоги