1/6

ИБ-компания Positive Technologies подвела итоги пентестов, которые проводились в 2023 году для оценки защищенности информационных систем ИТ-компаний, а также организаций из финансовой сферы, промышленного, космического, фармацевтического, энергетического и других секторов. Всего было проведено 28 проектов по тестированию на проникновение, 39% протестированных организаций входят в рейтинг крупнейших компаний России по объему реализации продукции — RAEX-600.

Результаты тестов показали, что в 96% проектов оказались не защищены от проникновения хакеров в их внутреннюю сеть. Самое быстрое проникновение в локальные сети компаний было осуществлено специалистами в первый день с момента начала работ. В среднем им требовалось для этого 10 дней.

Все организации, в которых удалось провести внутреннее тестирование на проникновение, оказались не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой. В 63% компаний злоумышленник с низкой квалификацией сможет проникнуть в локальные сети извне.

В 96% организаций пентестеры смогли получить учетные данные сотрудников. В 64% проектов был риск получения злоумышленниками доступа к конфиденциальной информации. Кроме того, в каждом проекте удалось подтвердить возможность реализации как минимум одного недопустимого события, для которого не требовалось получения полного контроля над ИТ-инфраструктурой.

В 70% проектах, по которым проводилось внешнее тестирование, были обнаружены критически опасные уязвимости из-за устаревшего ПО, а в 19% нашлись уязвимости, связанные с небезопасным кодом веб-приложений. Также по итогам внешнего тестирования выяснилось, что 27% векторов проникновения в локальные вычислительные сети состояли из одного или двух шагов, но в среднем это требует четыре шага. В ходе внутренних тестов контроль над доменом удавалось получить в 100% проектов.

Расскажите знакомым: