Комментарии 12
Мне кажется приводить проценты без конкретных цифр не корректно. Сколько всего организаций в России? Сколько из них было протестировано?
В статье на сайте есть косвенный ответ об объеме этого тестирования:
96% протестированных организаций не защищены от проникновения внешнего злоумышленника. Оставшаяся доля приходится на одну организацию,
Гигантское количество протестировали - целых двадцать пять...
Добрый день. Во второй сноске указано, что нами было проанализировано 53 проекта по внутреннему, внешнему и комплексному тестированию на проникновение, проведенных в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года.
Ознакомиться с полной версией нашего отчета вы можете по ссылке.
Спасибо! На момент прочтения вторая сноска не работала.
Организация 1С-Битрикс, уязвимости которой позволили получить доступ к ЛВС в большинстве компаний, своевременно выпускает обновления безопасности, например для CVE-2022-27228.
хм...
Меня тоже этот абзац покоробил.
Можно предположить, что это перевод или у автора текста русский не родной...
Что имелось ввиду под "Организация 1С-Битрикс":
Компания ООО «1С-Битрикс», которая регулярно выпускает обновления или программные продукты её разработки, которые имеют проблемы безопасности и позволяют получить доступ к внутренней сети?
В абзаце над врезкой в нашем отчете отмечено:
В каждой исследованной организации был обнаружен хотя бы один вектор атаки, связанный с эксплуатацией уязвимостей или недостатков конфигурации веб-приложений (техника exploit public-facing application). Самым распространенным из таких векторов оказалась эксплуатация уязвимостей в CMS Bitrix: эти уязвимости стали отправной точкой для получения доступа во внутренние сети десяти организаций.
На всякий случай поправили в полной версии отчета формулировку из врезки, вызвавшую вопросы 🙂.
Да, и какого рода уязвимости были. А то можно подумать, что через фишинг взламывали.
При подготовке отчета мы рассматривали только сценарии атаки на инфраструктуру организаций. Об этом мы говорим в самом начале нашего исследования (рекомендуем ознакомиться с полной его версией). Атаки с использованием техник социальной инженерии не входили в скоуп нашего исследования.
А ещё сколько из них платят за найденные уязвимости.
Непонятно, были ли атаки как врезка коммутатора в линию между этажами и атака на wifi корп сети? Или было достаточно уязвимостей в приложении?
В исследование не вошли кейсы атак с использованием социальной инженерии и атак на беспроводные сети.
Все виды атак представлены на рисунках ниже.Подробнее о результатах проведенных пентестов можно прочитать здесь.
96% протестированных организаций оказались не защищены от проникновения в локальную сеть