Из-за несвоевременного обновления ПО почти все компании в России могут быть атакованы с помощью достаточно старых и уже описанных в интернете «схем взлома».
- dzhet_700.jpg (59.76 КБ) 647 просмотров
Уязвимость к атакам, о которых знают все
Абсолютное большинство компаний в России может быть атаковано с помощью старых уязвимостей, к которым уже есть публичные эксплойты. Проблема заключается в старых версиях программного обеспечения (ПО), которые не защищены от этих угроз. Об этом сообщила в своем отчете за 2023 г. ИБ-компания «Инфосистемы Джет».
В рамках проведения работ по тестированию на проникновение за 2023 г. в 20% проектов были выявлены уязвимости веб-приложений, которые позволяют выполнить произвольные команды операционной системы, а общее количество запросов на проведение внешнего тестирования на проникновение выросло на 30%.
Все данные из отчета относятся к клиентам и сервисам компании «Инфосистемы Джет», но представитель компании объяснил, что эти данные могут быть релевантны для экстраполяции на российские компании в целом, поскольку компания давно на рынке и обслуживает крупнейших клиентов из самых разных сфер, а в статистику вошло около 500 крупных компаний.
Но все не так критично
Ведущий инженер CorpSoft24 Михаил Сергеев считает, что уязвимости такого уровня действительно присутствуют у большого количества компаний, но цифра в 96% явно завышена. «Для закрытия уязвимостей необходимо чуть ли не ежедневно обновлять ПО, но это очень трудоемкий и требовательный к ресурсам процесс», - сказал он.
Михаил Сергеев объяснил, что для закрытия ряда уязвимостей необходимо часто обновлять ПО, а обновление может сломать какой-то функционал. «Обычно компании обновляются когда им требуется дополнительный функционал или возникают проблемы, которые они хотят решить с помощью патча. Многие информационные системы работают в режиме "работает, не трогай"», - подытожил он.
Не смотря на то, что «Инфосистемы Джет» отметили рост количества кибератак и ряд других проблем, они выделили и позитивную тенденцию: рост спроса на обучение команд по кибербезопасности, а именно, двукратный рост запросов на сервисы киберучений.
Наибольший спрос на обучение ИБ-команд в 2023 г. отмечается в промышленности, финансовой сфере и телекоммуникациях.