Сайты под угрозой: что показала проверка кибербезопасности частных компаний Кыргызстана
В сторону цифровизации и перевода практически всех процессов в онлайн активно движутся не только государственные органы, но и частный сектор. Свои собственные сайты, сервисы и почтовые службы есть у многих компаний. Интернет-ресурсы - важный источник взаимодействия между бизнесом и населением. Но и вместе с тем они же очень привлекательны для кибератак.
И вот здесь таится самое опасное: если сайт уязвим или плохо защищен, то под угрозой оказывается как репутация компании, так и личные данные пользователей ресурса.
Ассоциация цифровой устойчивости (DRA) с экспертами TSARKA Kyrgyzstan провела комплексную оценку уровня кибербезопасности корпоративных интернет-ресурсов Кыргызстана, чтобы выявить их возможные уязвимости и дать рекомендации по устранению.
В рамках этой инициативы были проанализированы веб-ресурсы компаний из ключевых секторов экономики:
- Пищевая промышленность и производство напитков.
- Образование.
- Добывающая промышленность.
- Диагностические и медицинские услуги.
- Развлечения и медиа.
- Фармацевтика.
- Авиакомпании и транспорт.
- Розничная торговля.
Данная оценка позволяет получить актуальную картину состояния киберзащиты в этих важных отраслях и наметить пути для повышения их цифровой устойчивости.
Главный фокус - на безопасность
Всего эксперты TSARKA проверяли 53 ресурса. Изучались основной домен компаний, его главная страница и почтовый сервер. Тестирование проводилось без воздействия на работоспособность веб-ресурсов, с применением "легких" HTTP- и DNS-запросов, а также анализа ответов сервера.
Исследование включало оценку соответствия конфигурации веб-серверов и связанных компонентов рекомендованным настройкам безопасности.
Все сайты проверяли на:
- использование уязвимых или устаревших технологий;
- безопасность почтовых серверов;
- безопасность контента и передачи данных;
- шифрование трафика и утечки информации;
- конфигурацию веб-сервера;
- соответствие стандартам.
Для проверки были выбраны ключевые контрольные точки, доступные без вмешательства в работу веб-ресурсов. Это значит, что все сайты во время проверки работали в штатном режиме. Никакого технического ущерба им не наносилось.
По итогам оценки средний уровень защищенности сайтов корпоративного сектора Кыргызстана составил 78,3%. Это на 22,3% выше итогов аналогичного исследования сайтов госорганов.
Но такой показатель не значит, что все хорошо и можно порадоваться. Эксперты TSARKA говорят, что итог их проверки указывает на неоднородность подходов к кибербезопасности в большинстве случаев.
"Выявленные уязвимости и ошибки конфигурации свидетельствуют о необходимости дальнейшего совершенствования мер киберзащиты", - отмечается в отчете по итогам исследования.
Где есть пробелы
Сначала о хорошем. Проверка репутации доменов показала, что ни один не находится в черном списке. Кроме того, при анализе обнаружены открытые пути (доступные директории и файлы) на ряде веб-ресурсов. Но среди них не выявлено критичных элементов. Все обнаруженные пути либо не содержат чувствительной информации либо защищены соответствующими механизмами (например аутентификацией или ограничениями доступа). Это означает, что на сегодня риск использования открытых путей для компрометации системы оценивается как низкий.
А теперь о недостатках. Обнаружилось, что семь из 53 ресурсов имеют критичные открытые порты, которые могут представлять угрозу.
Такие порты опасны тем, что увеличивают риск утечки данных, взлома серверов и проникновения в сеть организации. Уязвимые сервисы могут быть использованы для удаленного доступа, внедрения вредоносного кода или включения серверов в ботнет.
Семь ресурсов частных компаний подвержены атакам, нацеленным основным образом на получение данных. Выявлено девять(!) уязвимых технологий.
Эксперты также провели автоматизированный анализ веб-ресурсов для выявления уязвимостей в шифровании трафика, настройках серверов, защите веб-приложений, почтовых сервисов и используемого программного обеспечения. Результаты оказались, мягко говоря, не очень.
Выяснилось, что 21 сайт использует устаревший TLS 1.2.
Это опасно тем, что в случае потенциальной кибератаки злоумышленники могут перехватывать данные при слабом шифровании, внедрять вредоносный код, обходить аутентификацию и использовать уязвимости серверов. Ошибки конфигурации и отсутствие базовых мер безопасности позволяют получить несанкционированный доступ или подделывать официальные ресурсы. В итоге атаки могут привести к утечке персональных данных, компрометации систем и снижению доверия. Возможны распространение вредоносного программного обеспечения, финансовые и репутационные потери.
TSARKA провела также анализ субдоменов для выявления уязвимых или забытых компонентов, а также оценки масштабов и защищенности цифровой инфраструктуры интернет-ресурсов. Почему это важно? Старые, неиспользуемые или неправильно настроенные субдомены могут стать точкой входа для атак, например подмены содержимого (subdomain takeover), фишинга или запуска вредоносного кода. И в этой части у ресурсов частных компаний не все гладко. Нашлось множество ресурсов, которые могут быть потенциальным источником опасности.
При передаче данных от веб-сервера к клиенту могут передаваться метаданные, которые могут быть использованы при атаке. Чтобы понять, насколько в этой части все безопасно, специалисты проверяют HTTP Security заголовков. Важно понимать, что при отсутствии или неправильной настройке HTTP-заголовков мошенники могут внедрять вредоносные коды, подменить контент, украсть пользовательские данные или использовать сайт в мошеннических схемах.
Анализ HTTP-заголовков безопасности показал, что 44 интернет-ресурса имеют низкие показатели по HTTP Security.
Когда эксперты изучали сайты государственных органов Кыргызстана, то самая сложная ситуация оказалась с системой настройки DNS. Все 76 доменных имен показали недостатки в работе. У частников тут ситуация получше, но есть и недостатки:
- 11 доменных имен показали недостаточную настройку DNS;
- 15 доменов имеют DMARC-записи;
- 39 доменов имеют spf-записи;
- один домен настроил DNSSEC;
- 10 веб-сайтов используют DNS WAF.
"Компрометация DNS может привести к перехвату электронной переписки, перенаправлению пользователей на вредоносные сайты, подрыву доверия к организации и репутационным потерям", - предупреждают в отчете.
Как защитить сайты и данные клиентов
В Ассоциации цифровой устойчивости (DRA) отмечают, что проведенный анализ веб-ресурсов выявил удовлетворительный уровень киберзащиты: средний интегральный показатель составляет 78,4%, но четверть сайтов демонстрирует критические пробелы.
"Наибольшие риски обусловлены устаревшим серверным ПО, неполноценной реализацией DNS политик SPF/DKIM/DMARC и отсутствием современных HTTP-заголовков безопасности, что оставляет пространство для удаленного исполнения кода, фишинга и других атак", - отмечается в отчете.
Что сделать, чтобы изменить ситуацию:
- Провести централизованный аудит и стандартизацию конфигураций.
- Назначить ответственных за кибербезопасность в каждой компании.
- Исключить доступ к критически важным административным и резервным путям.
- Обновить устаревшие компоненты веб-приложений и внедрить системы мониторинга уязвимостей.
- Обязать использование базовых мер защиты электронной почты (SPF, DKIM, DMARC).
- Внедрить систему регулярного автоматического сканирования и оценки уровня безопасности всех сайтов.
"Оперативное устранение выявленных уязвимостей и переход к регулярному автоматизированному мониторингу способны повысить средний индекс защищенности национального сегмента .kg до 85 % и выше уже в ближайшие 12 месяцев, создав прочную основу для устойчивой работы цифровых сервисов и укрепления доверия пользователей", - обнадежили авторы исследования.
