Статья

Рунет в осаде: взломан каждый десятый крупный сайт

Интернет Безопасность Интернет-ПО Стратегия безопасности
мобильная версия

Широкая доступность веб-приложений, которые проникают во все сферы нашей жизни, — это палка о двух концах: их очень легко взломать. Популярность и значимость портала не имеют значения, поскольку "принцип Неуловимого Джо" уже не работает. Под угрозой находятся практически все сайты: если ситуация не изменится, одни ресурсы взломают целенаправленно, другие "заденут" случайно, в ходе автоматизированной массовой атаки. Потери могут быть разные: от банальной замены главной страницы или включения в ботнет до перехвата управления производственным циклом, кражи финансовых средств и клиентской базы.

Проводя анализ веб-приложений ключевых российских компаний и промышленных предприятий, эксперты компании Positive Technologies искали ответы на несколько вопросов. Насколько хорошо защищены крупные интернет-сайты? От чего зависит безопасность приложений? Какой информации не хватает для эффективного управления рисками? Существуют ли эффективные способы повысить безопасность важных для бизнеса веб-приложений?

Объектами исследования стали 123 портала компаний и организаций государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. Относительно небольшое количество сайтов не должно вводить в заблуждение: детальному анализу подверглись именно те бизнес-системы и государственные объекты, в безопасность которых инвестируются немалые средства. На изучение и устранение уязвимостей каждого объекта было потрачено несколько человеко-месяцев.



Несмотря на хорошо выстроенные в этих организациях ИБ-процессы, 10% проанализированных сайтов не только содержали критические уязвимости, но и были уже взломаны. Две трети веб-ресурсов имели критические уязвимости, и почти на всех сайтах (98%) были обнаружены проблемы с безопасностью среднего уровня риска.

Свободные CMS: заражен каждый четвертый сайт

Исследователи обращают внимание на низкую безопасность сайтов, использующих CMS собственной разработки (на таких веб-ресурсах значительно чаще встречались критические уязвимости, чем на порталах с коммерческими и свободными системами). Единственное исключение касается фактического заражения вредоносным кодом: среди ресурсов, сконструированных на базе CMS собственной разработки, заражены оказались только 5%. Доли сайтов с признаками взлома на коммерческих и свободных системах были заметно выше: 8% и 24% соответственно. Это связано с тем, что веб-приложения на базе самодельных CMS, несмотря на наличие большого количества уязвимостей, меньше подвержены "случайному" взлому в рамках массовой атаки с использованием автоматизированных средств.

С другой стороны, порталы с эксклюзивными движками — отличная мишень для целенаправленного нападения. Если ваши секреты понадобятся конкуренту — веб-приложение, скорее всего, взломают.

Сайты телекомов уязвимы больше остальных

Постепенное превращение телефонов в электронные кошельки происходит на фоне крайне низкой информационной безопасности сайтов телекоммуникационного сектора: примерно 88% ресурсов содержат критические уязвимости.

Большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, значительно усложняя обслуживание технологического парка.

ИТ и госсектор

Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и государственном секторе, где доли ресурсов с наиболее критическими уязвимостями составляют соответственно 75% и 65%.

При запуске государственных интернет-порталов их создатели и владельцы основное внимание уделяли контенту и функциональности, но не защищенности. Следствием стала возможность утечки персональных данных граждан, которые обрабатываются государственными веб-ресурсами, доступа злоумышленников к внутриведомственной информации, переписке, документам и другой важной информации.

Концентрация уязвимостей в промышленных веб-приложениях

Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока.

Парадоксально, но факт: наиболее уязвимые приложения были связаны с критическими с точки зрения безопасности задачами. Среди них — удаленный и терминальный доступ, системы управления предприятием (ERP, включая SAP R/3), доступные из интернета или офисной сети элементы систем управления производственным процессом (АСУ ТП, SCADA). К сожалению, информация о последних инцидентах и угрозах APT (Advanced Persistent Thread), таких как Night Dragon, Stuxnet, Duqu, — показывает, что именно эти системы являются целью мотивированных злоумышленников.

Сайты банков и системы ДБО: положительный эффект Compliance

Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. В системах дистанционного банковского обслуживания устранены практически все критические уязвимости, такие как SQL Injection или Remote Code Execution. Это объясняется высокими бизнес-рисками и жестким регулированием со стороны платежных систем в рамках стандарта PCI DSS, который, в частности, затрагивает и безопасность веб-приложений.

Если применить требования PCI DSS ко всем веб-приложениям финансового сектора, то только 10% соответствуют необходимому уровню защищенности. Низкий уровень соответствия обусловлен достаточно большим количеством уязвимостей средней и низкой степени риска: 98 из каждых 100 уязвимостей, обнаруженных в системах ДБО и других веб-приложениях финсектора, не являются критическими.

В результате современному киберпреступнику гораздо удобнее использовать для атаки компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу. Еще одна проблема веб-приложений ДБО — логические уязвимости, связанные с ошибками при разработке приложений.

Основные причины заражения вредоносным кодом

В ходе исследования были подробно изучены ресурсы, на которых обнаружился вредоносный код (их доля составила 10%). Практически все сайты, зараженные вредоносным кодом (92%), написаны на языке PHP и работают под управлением веб-сервера Apache. Половина взломанных веб-приложений функционируют под управлением свободных CMS. Эксперты Positive Technologies выяснили, что заражению информационного ресурса наиболее способствует наличие уязвимостей "Выполнение команд ОС" и "Некорректные разрешения файловой системы". Треть всех сайтов с уязвимостью "Выполнение команд ОС" оказалась инфицирована.

"Зачастую при попытке оценить те или иные риски в области безопасности специалистам недостает тривиальной вещи — точки отчета, возможности сравнить текущий уровень своей защищенности с ситуацией в отрасли в целом, — прокомментировал результаты исследования Сергей Гордейчик, технический директор Positive Technologies. — Мы надеемся, что предоставленная информация поможет компаниям взвешенно проанализировать актуальные угрозы безопасности веб-приложений и выбрать адекватные механизмы защиты. Понятно, что нельзя судить о вероятности компрометации исходя только из статистики уязвимостей. Но тот простой факт, что 10% крупнейших корпоративных сайтов и веб-приложений содержали вредоносные программы, то есть уже были взломаны, — заставляет крепко задуматься о текущем уровне защищенности".

Выводы

Индустрия информационной безопасности пока не отлила свою "серебряную пулю" — универсальное решение для защиты веб-приложений. Межсетевые экраны (web application firewall), стоящие на страже большинства исследованных приложений, оказываются неэффективными, если у компании отсутствует возможность систематически анализировать риски и вырабатывать необходимые правила информационной безопасности. Держать руку на пульсе помогает регулярный анализ защищенности и контроль соответствия, как ручной, так и с использованием автоматизированных средств. Но далеко не все компании заблаговременно оценивают вероятные потери от кибератак и успевают вовремя принять верное решение.

В полной версии исследования компании Positive Technologies представлены также десятка наиболее распространенных уязвимостей, поквартальная динамика, сравнение характерных уязвимостей в зависимости от различных факторов (языка программирования, веб-сервера, отрасли экономики, типа CMS).

Максим Самойленко / CNews