Эксперты Positive Technologies проанализировали 53 проекта внутреннего, внешнего и комплексного тестирования на проникновение, проведенных в 30 организациях во втором полугодии 2021 года и первом полугодии 2022 года.

Большая часть исследуемых организаций (63%) – это представители финансовой отрасли, промышленные предприятия и государственные учреждения. 57% протестированных компаний входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. Рассматривались только сценарии атаки на инфраструктуру организаций, поэтому в исследование не вошли кейсы с использованием социальной инженерии и атак на беспроводные сети.

Тестирование на проникновение, или пентест, — моделирование реальных атак злоумышленников.

96% протестированных организаций не защищены от проникновения внешнего злоумышленника.

Наблюдения аналитиков:

• 100% исследованных организаций не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой;
• в 84% организаций даже низкоквалифицированный злоумышленник может проникнуть в ЛВС (локальную вычислительную сеть);
• удалось подтвердить возможность реализации 89% недопустимых событий, обозначенных организациями. Большая часть недопустимых событий, для которых была доказана возможность реализации, связаны с потенциальным ущербом для репутации (61% событий), регуляторными санкциями (57%) и финансовыми потерями (39%);
• в 70% организаций были выявлены критически опасные уязвимости, связанные с недостатками парольной политики, в 67% — уязвимости, связанные с отсутствием актуальных обновлений, а в 53% организаций были обнаружены критически опасные уязвимости в коде веб-приложений.

Расскажите знакомым: