Поделиться
Эксперты «Кросс технолоджис» назвали самые распространенные точки входа
Специалисты департамента оценки защищенности компании «Кросс технолоджис» выделили наиболее распространенные уязвимости, которые злоумышленники могут использовать для получения первичного доступа в информационную инфраструктуру российских компаний. Список составлен на основе анализа реализованных за 2025 г проектов. Об этом CNews сообщили представители «Кросс технолоджис».
Неизменным лидером, по результатам исследования специалистов «Кросс технолоджис», остается человеческий фактор. В 90% проектов доступ к системам удавалось получить с использованием фишинга или методов социальной инженерии. Один из типовых сценариев, реализуемых специалистами по анализу защищенности, — отправка сотруднику корпоративного письма с просьбой предоставить данные для обновления ДМС по ссылке. При переходе на фишинговый ресурс пользователь вводил свои учетные данные, что в дальнейшем позволяло осуществить проникновение в инфраструктуру.
Следующей по распространенности проблемой стало использование устаревшего программного обеспечения, которое встречалось в большинстве проектов. Как правило, она возникает из-за фундаментального конфликта между требованиями информационной безопасности и особенностями организации бизнес-процессов. В каждой инфраструктуре присутствуют критически важные компоненты, обновление которых может привести к нарушению работы сервисов, что делает такие изменения затруднительными. Кроме того, отдельные элементы инфраструктуры нередко остаются без внимания в результате некорректного или неполного перехода на новую среду.
В перечень наиболее значимых уязвимостей специалисты компании «Кросс технолоджис» также отнесли недостатки и ошибки в механизмах аутентификации, выявленные примерно в половине проектов. В отличие от проблем, связанных с действиями пользователей, в данном случае речь идет о дефектах самих систем. К ним относятся разница времени и содержимого ответа от сервера, использование слабых секретов, недостатки в использовании криптографических функций, а также чрезмерное доверие данным, получаемым от клиентского браузера.
Более чем в 20% проектов специалисты по пентесту столкнулись с уязвимой парольной политикой. Несмотря на формальное наличие требований к длине пароля, использованию специальных символов и регулярной ротации, на практике сотрудники нередко находят способы их обхода, выбирая предсказуемые комбинации. Так, в качестве паролей нередко используются простые последовательности, основанные на расположении клавиш на клавиатуре, например qwerty с измененным регистром, а также цифровые ряды, введенные с зажатой клавишей Shift, при которых «123» превращается в «!@#». Кроме того, распространенной практикой остается формирование паролей на основе общеупотребительных русских слов («Зима», «Работа», «Зарплата» и т. д.) с использованием английской раскладки. В результате формальные требования выполняются, однако фактическая стойкость таких паролей остается недостаточной.
Отдельно эксперты «Кросс технолоджис» выделяют уязвимости, возникающие из-за некорректной реализации мер по обеспечению информационной безопасности. Например, при нарушении бизнес-логики ИБ-меры противоречат внутренним процессам компании, что часто приводит к конфликту систем и формированию культуры обхода защитных механизмов. В одном из проектов специалисты столкнулись с некорректной реализацией DLP-системы: скриншоты экранов сотрудников сохранялись на ресурсе с недостаточным уровнем защиты, доступном из сети Интернет. В результате на одном из изображений были обнаружены действительные учетные данные пользователя, что впоследствии позволило осуществить проникновение во внутреннюю сеть.
Другой пример – ускоренное импортозамещение, когда скорость и стремление соответствовать требованиям «на бумаге» становятся выше оценки функциональной совместимости. В таких условиях продукты изучаются поверхностно, что приводит к большому числу ошибок конфигурации. В одном из проектов эксплуатация подобной уязвимости позволила специалистам получить хэш-суммы паролей действующих доменных пользователей без прохождения аутентификации.
Специалисты компании «Кросс технолоджис» рекомендуют организациям регулярно проводить анализ защищенности. Пентест позволяет своевременно выявлять уязвимости, которые уже присутствуют в инфраструктуре, но пока не оказывают заметного влияния на ее работу. Подобные проблемы зачастую становятся «бомбой замедленного действия», реализующейся при изменении условий или появлении внешнего воздействия.
Короткая ссылка
