- 26,619
- 46
- 8 Ноя 2022
Компании игнорируют базовые ошибки, которые ведут к взломам.
Компания ScanFactory представила аналитический отчет по результатам оценки защищенности внешнего периметра 125 российских организаций за 2022–2025 годы. Отчёт демонстрирует, какие уязвимости действительно эксплуатируются на практике, и позволяет выявить ключевые тенденции атак в 2026–2027 годах. Более половины выявленных уязвимостей относятся к критическому и высокому уровням опасности.
В рамках исследования было проанализировано 246 коммерческих проектов по анализу защищенности компаний из 18 отраслей экономики. Результаты основаны на ручной работе экспертов: каждая угроза была подтверждена вручную, продемонстрирован риск эксплуатации с точки зрения злоумышленника, даны конкретные рекомендации к устранению каждого риска.
<h3>Ключевые выводы исследования</h3>
<h3>Отраслевой анализ</h3> Распределение уязвимостей оказалось неравномерным:
— самая высокая плотность критических проблем на одну компанию в:
Это указывает на необходимость учитывать не только общее число уязвимостей, но и их концентрацию внутри отрасли.
<h3>Какие уязвимости встречаются чаще всего</h3> Анализ по OWASP (Open Web Application Security Project, это международная некоммерческая организация, занимающаяся безопасностью веб-приложений) топ 10 показал, что лидируют:
— ошибки конфигурации (Security Misconfiguration)
— уязвимости класса инъекций (SQLi, XSS и др.)
— нарушения контроля доступа (IDOR, обход авторизации)
— проблемы с аутентификацией и учетными данными
Также значительную долю составляют устаревшие компоненты и известные CVE, что говорит о недостаточной зрелости процессов обновления ИТ-инфраструктуры.
<h3>Как развиваются реальные атаки</h3> Отчет показывает, что критические инциденты чаще всего возникают не из одной уязвимости, а из цепочек:
— XXE → SSRF → утечка учетных данных → RCE
— раскрытие ID → brute force → устаревший компонент → RCE
— XSS → SSRF → доступ к внутренним API → удаление данных
Даже уязвимости среднего уровня, при правильной комбинации, приводят к полной компрометации системы.
Тренды 2026-2027 года:
Компания ScanFactory представила аналитический отчет по результатам оценки защищенности внешнего периметра 125 российских организаций за 2022–2025 годы. Отчёт демонстрирует, какие уязвимости действительно эксплуатируются на практике, и позволяет выявить ключевые тенденции атак в 2026–2027 годах. Более половины выявленных уязвимостей относятся к критическому и высокому уровням опасности.
В рамках исследования было проанализировано 246 коммерческих проектов по анализу защищенности компаний из 18 отраслей экономики. Результаты основаны на ручной работе экспертов: каждая угроза была подтверждена вручную, продемонстрирован риск эксплуатации с точки зрения злоумышленника, даны конкретные рекомендации к устранению каждого риска.
<h3>Ключевые выводы исследования</h3>
- сформирован топ из 94 критических уязвимостей, характерных для атаки на российские организации
- 53% уязвимостей — критического и высокого уровня риска, позволяющие осуществить недопустимое событие
- более 70% уязвимостей — типовые ошибки со стороны ИТ-разработки: слабые пароли, ошибки конфигурации, устаревшие версии ПО
- успешная атака на компанию - это всегда эксплуатация цепочки уязвимостей
<h3>Отраслевой анализ</h3> Распределение уязвимостей оказалось неравномерным:
— самая высокая плотность критических проблем на одну компанию в:
- образовании
- государственном секторе
- энергетике
Это указывает на необходимость учитывать не только общее число уязвимостей, но и их концентрацию внутри отрасли.
<h3>Какие уязвимости встречаются чаще всего</h3> Анализ по OWASP (Open Web Application Security Project, это международная некоммерческая организация, занимающаяся безопасностью веб-приложений) топ 10 показал, что лидируют:
— ошибки конфигурации (Security Misconfiguration)
— уязвимости класса инъекций (SQLi, XSS и др.)
— нарушения контроля доступа (IDOR, обход авторизации)
— проблемы с аутентификацией и учетными данными
Также значительную долю составляют устаревшие компоненты и известные CVE, что говорит о недостаточной зрелости процессов обновления ИТ-инфраструктуры.
<h3>Как развиваются реальные атаки</h3> Отчет показывает, что критические инциденты чаще всего возникают не из одной уязвимости, а из цепочек:
— XXE → SSRF → утечка учетных данных → RCE
— раскрытие ID → brute force → устаревший компонент → RCE
— XSS → SSRF → доступ к внутренним API → удаление данных
Даже уязвимости среднего уровня, при правильной комбинации, приводят к полной компрометации системы.
Тренды 2026-2027 года:
- распространение атакующего ИИ как массового инструмента;
- кратный рост количества уязвимостей;
- кратно увеличится скорость эксплуатации цепочек уязвимостей с применением ИИ
- Источник новости
- www.securitylab.ru
