В сфере государственной безопасности существует ряд проблем, которые делают её уязвимой для кибератак. Среди них можно выделить использование устаревших программных решений и слабых паролей. Эти факторы были выявлены экспертами отдела анализа защищённости центра противодействия кибератакам Solar JSOC ГК «Солар», который занимается комплексной безопасностью.
В 2024 году в ходе работ по внешнему тестированию на проникновение эти уязвимости были обнаружены в более чем 60% исследованных инфраструктур. Кроме того, критические уязвимости были найдены и в мобильных приложениях, предназначенных для граждан. Они связаны с незашифрованным хранением данных на устройстве, раскрытием отладочной информации и недостатками контроля доступа.
В основе исследования лежат результаты более 200 проектов по анализу защищённости и тестированию на проникновение, проведённых в 2024 году. Из них 63% работ были связаны с государственным сектором. Также в фокусе внимания экспертов были компании из других отраслей, включая телекоммуникации, энергетику, информационные технологии, торговлю, транспорт и другие.
Проблемы, связанные с паролями, были обнаружены в трети проектов. В ходе исследования внешних периметров специалисты по-прежнему находят простые пароли и пароли по умолчанию, такие как «password», «user1», «demo», простые числовые последовательности и пустые пароли в приложениях «1С». Также распространённой проблемой остаётся использование программного обеспечения с известными, но незакрытыми уязвимостями. Среди такого программного обеспечения можно выделить Liferay, 1С-Битрикс, Pentaho, Microsoft Exchange, Avaya Aura, Jira и другие.
Несмотря на то, что обновления безопасности для этих уязвимостей уже доступны для установки, многие компании не применяют их вовремя, что играет на руку киберпреступникам.
В числе уязвимостей внешнего периметра также можно выделить возможность внедрения SQL-кода в запросы к базе данных. Такая атака позволяет злоумышленнику получить доступ к хранящимся в базах данным и локальным файлам или даже выполнить произвольные команды на атакуемом сервере.
Согласно статистике, полученной по результатам всех проектов 2024 года, в среднем для преодоления внешнего периметра в реализованных проектах требовалось два шага. Для достижения цели, поставленной заказчиком, экспертам требовалось в среднем от одного до пяти дней.
В 2024 году эксперты также провели анализ защищённости мобильных приложений для населения. В результате было обнаружено, что только 20% исследованных приложений имели низкий уровень защищённости. Большая часть уязвимостей и недостатков была обнаружена в серверной части приложений. Наиболее частая и критичная проблема — это недостатки контроля доступа, которые позволяют пользователю совершать действия вне установленных для него привилегий. Благодаря этому хакеры могут, например, получить данные других пользователей или получить повышенные привилегии в приложении, или заставить приложение выполнить незаложенную в него функциональность.
Другая часть недостатков связана с раскрытием отладочной и конфигурационной информации, которая позволяет получить сведения о текущих настройках, окружении и отдельных компонентах приложения.
В клиентской части приложений недостатков меньше, что обусловлено тем, что для эксплуатации таких уязвимостей требуется физический или удалённый доступ к устройству. Однако в четверти мобильных приложений данные пользователей сохраняются в незашифрованном виде непосредственно на устройстве. Среди найденной информации были ФИО пользователей, их СНИЛС, даты рождения и другие сведения. Даже после выхода из профиля или удаления приложения эти данные остаются на устройстве.
«Государственные организации традиционно сталкиваются с большим количеством кибератак. По данным нашего сервиса мониторинга Solar JSOC, в 2024 году на государственный сектор пришлось более половины зафиксированных инцидентов. В связи с этим контроль защищённости и своевременное выявление и устранение уязвимостей становятся ключевыми составляющими киберзащиты. Мы видим эффективность этого подхода на примере наших постоянных клиентов, уровень защищённости которых после каждого пентеста становится всё выше. Поэтому можно с уверенностью утверждать, что высокие показатели защищённости — это результат регулярного анализа», — отметил руководитель отдела анализа защищённости Solar JSOC ГК «Солар» Александр Колесов.