Закрытие уязвимостей патчами: исследование «Ростелеком-Солар»
Согласно данным отчета «Ростелеком-Солар», до 75% уязвимостей, найденных в инфраструктурах российских организаций, могут быть устранены простыми способами, включая патч-менеджмент, однако они до сих пор остаются незакрытыми. В некоторых инфраструктурах, отмечается в отчете, встречаются хорошо известные уязвимости, обновления для которых были выпущены уже несколько лет назад. В текущих условиях закрытие таких уязвимостей становится для организаций критически важным условием базовой киберзащиты, подчеркивают эксперты.
В рамках исследования были проанализированы внутренние и внешние сетевые периметры, а также веб-приложения более 50 организаций из различных отраслей (ИТ, промышленность, ритейл, медицина, госструктуры). Было выявлено более 150 тысяч уязвимостей, из них 7,5 тысяч (5%) уникальные. Большая часть последних (94%) имеет уровень критичности выше среднего, и для большого количества этих уязвимостей есть опубликованный эксплойт, что делает их доступным инструментом для злоумышленников.
Во внутреннем периметре встречаются уязвимости старше 20 лет. В среднем же окно возможностей злоумышленника составляет 10–12 лет (разница между наиболее старой и наиболее новой уязвимостью с эксплойтом, обнаруженной в инфраструктуре). Среди трендовых уязвимостей, которые были выявлены во внутреннем периметре, Log4j, BlueKeep, ShellShock, EternalBlue и т.п. И в ряде компаний они все еще остаются неисправленными.
В то же время на внешних периметрах компаний трендовых уязвимостей не обнаружено, но эксперты «Ростелеком-Солар» фиксируют проблемы с инвентаризацией. Кроме этого, все исследуемые компании используют небезопасные методы шифрования или испытывают трудности с сертификатами или конфигурацией, что может нарушить целостность данных и привести к их перехвату. Эта проблема может быть устранена корректными настройками.
Веб-приложения также остаются достаточно уязвимыми. В 56% случаев встречается проблема использования уязвимых и устаревших компонентов. Среди других ошибок — возможность проведения SQL-инъекций и атак типа «межсайтовый скриптинг» (XSS), применение уязвимых конфигураций безопасности, проблемы шифрования.