Компания Positive Technologies опубликовала отчет по результатам инструментального анализа на наличие уязвимостей в информационных системах 19 организаций, которые проводились в 2019 и первой половине 2020 годов. В основном сканирование проводилось для общедоступного периметра информационных систем финансовых организаций (32% обследованных клиентов) и такого же количества промышленных компаний. Кроме того, по две компании было из ИТ и торговли, а также по одной из телекома, рекламы и госсектора. Всего в этих организациях было обнаружено 3514 узлов, из которых уязвимыми оказались 599, то есть всего 17%. Правда, на них было обнаружено 9483 уязвимости.
В отчете было отмечено, что защищенные узлы просто содержали необходимый минимум сервисов: «на узлах, где в ходе инструментального сканирования не были выявлены уязвимости, оказались доступны лишь единичные сервисы, причем, стоит отметить, что эти сервисы имели актуальные обновления ПО и безопасную конфигурацию». Однако, во всех организациях был хотя бы один уязвимый узел — все 100% обследованных компаний оказались уязвимы к атаке на разглашение информации.
Основными сервисами, в которых были обнаружены уязвимости, оказались веб-приложения — 24 из них были уязвимы с высоким уровнем риска по шкале CVSSv2 и имели публичные эксплойты и еще 344 имели средний уровень рисков при наличии эксплойтов. Еще одной проблемой предсказуемо являются инструменты для удаленного доступа — было обнаружено 110 узлов с высоким уровнем риска и наличием эксплойта и еще 234 среднерискованных уязвимостей. Третьей проблемой оказалась DNS-система: для нее высокорискованных уязвимостей с наличием эксплойтов оказалось даже больше, чем для веб — 36, хотя цифра для среднего риска оказалась более чем скромной — всего 21 уязвимый узел. Уязвимости удаленного доступа сейчас вполне естественны — на эти сервисы спешно переходили во время вынужденной самоизоляции, и не всегда при этом соблюдались меры корпоративной безопасности. Особенно это относится к установке всех необходимых обновлений, поскольку именно в своевременном обновлении узлов доступа и кроется основная проблема обеспечения безопасности.
«Проблемы с наличием обновлений были выявлены во всех компаниях, — пояснила ситуацию аналитик Positive Technologies Яна Авезова, — а в 42% организаций используются программные продукты, производители которых официально прекратили поддержку и больше не выпускают обновления безопасности. Например, в 32% компаний есть приложения, написанные на языке программирования PHP версии 5, который не поддерживается с января 2019 года. К слову, возраст самой старой уязвимости, обнаруженной в ходе инструментального анализа, 16 лет». При этом отмечается, что 100% компаний подвержены атаке SWEET32, построенной на базе уязвимости CVE-2016-2183, 84% — атаке POODLE (CVE-2014-3566), 53% — атаке DROWN (CVE-2016-0800), 26% — уязвимы для червя WannaCry, и даже 10% — уязвимы для Heartbleed (CVE-2014-0160). Из перечисления видно, что уязвимости достаточно старые — 2014-2016 годов, но они по прежнему остаются актуальными.
В целом можно отметить, что принцип промышленной автоматизации «работает — не трогай», для информационной безопасности уже не применим. Компаниям приходится обновлять свои информационные системы и переносить их на новые платформы, в частности отказываться от устаревшего с точки зрения безопасности языка PHP версии 5. Соблюдение требований по обновлению ПО особенно важно для ресурсов, доступных извне. К сожалению, во время пандемии и массового перехода на удаленную работу доступ из Интернет был организован для нового набора корпоративных ресурсов, которые раньше не предполагалось выставлять наружу, поскольку они не очень защищены для этого. Поэтому сейчас для служб информационной безопасности одной из важнейших задач является инвентаризация доступных извне ресурсов, анализ их защищенности и минимизация для них поверхности возможной атаки.
