27 Апреля 2026 09:50 | 27 Апр 2026 09:50 | |

Поделиться

Исследование: российские компании игнорируют базовые ошибки, которые ведут к взломам

В рамках исследования было проанализировано 246 коммерческих проектов по анализу защищенности компаний из 18 отраслей экономики. Результаты основаны на ручной работе экспертов: каждая угроза была подтверждена вручную, продемонстрирован риск эксплуатации с точки зрения злоумышленника, даны конкретные рекомендации к устранению каждого риска.

Ключевые выводы исследования

• сформирован топ из 94 критических уязвимостей, характерных для атаки на российские организации
• 53% уязвимостей — критического и высокого уровня риска, позволяющие осуществить недопустимое событие
• более 70% уязвимостей — типовые ошибки со стороны ИТ-разработки: слабые пароли, ошибки конфигурации, устаревшие версии ПО
• успешная атака на компанию — это всегда эксплуатация цепочки уязвимостей

Полученные результаты подтверждают: основной источник риска — не сложные атаки, а системные ошибки в процессах информационной безопасности. Распространение атакующего ИИ усиливает эти риски и упрощает их эксплуатацию.

Отраслевой анализ

Распределение уязвимостей оказалось неравномерным:

— самая высокая плотность критических проблем на одну компанию в:

• образовании
• государственном секторе
• энергетике

— наибольшее количество уязвимостей — в ИТ, e-commerce и логистике

Это указывает на необходимость учитывать не только общее число уязвимостей, но и их концентрацию внутри отрасли.

Какие уязвимости встречаются чаще всего

Анализ по OWASP (Open Web Application Security Project, это международная некоммерческая организация, занимающаяся безопасностью веб-приложений) топ 10 показал, что лидируют:

• ошибки конфигурации (Security Misconfiguration)
• уязвимости класса инъекций (SQLi, XSS и др.)
• нарушения контроля доступа (IDOR, обход авторизации)
• проблемы с аутентификацией и учетными данными

Также значительную долю составляют устаревшие компоненты и известные CVE, что говорит о недостаточной зрелости процессов обновления ИТ-инфраструктуры.

Как развиваются реальные атаки

Отчет показывает, что критические инциденты чаще всего возникают не из одной уязвимости, а из цепочек:

• XXE → SSRF → утечка учетных данных → RCE
• раскрытие ID → brute force → устаревший компонент → RCE
• XSS → SSRF → доступ к внутренним API → удаление данных

Даже уязвимости среднего уровня, при правильной комбинации, приводят к полной компрометации системы.

Тренды 2026-2027 года:

• распространение атакующего ИИ как массового инструмента;
• кратный рост количества уязвимостей;
• кратно увеличится скорость эксплуатации цепочек уязвимостей с применением ИИ

Рекомендации

Эксперты ScanFactory выделили ключевые меры, которые дают максимальный эффект:

• внедрение MFA и контроль учетных записей
• регулярный патч-менеджмент всех компонентов
• строгая валидация входных данных
• контроль бизнес-логики и прав доступа
• сочетание автоматического сканирования и ручного пентеста

Вывод

• Исследование подтверждает:
  основные риски на внешнем периметре связаны не с целевыми атаками, а с базовыми нарушениями практик безопасности.
• Распространение атакующего ИИ усиливает эти риски и упрощает их эксплуатацию.
• Фокус на устранении этих проблем позволяет существенно снизить вероятность инцидентов и повысить устойчивость бизнеса.

Полная версия аналитического отчета доступна по ссылке (включает перечень подтвержденных критических уязвимостей и разбор реальных сценариев атак).

Поделиться

Короткая ссылка