Белые хакеры подвели итоги пентестов 2023 года
В 96% организаций удалось получить учетные данные сотрудников, в 64% проектов злоумышленник мог бы завладеть конфиденциальной информацией
Лишь одна из них оказалась надежно защищена: исследователям удалось получить доступ только к демилитаризованной зоне, отмечается в отчете Positive Technologies «Итоги пентестов 2023». Проведено 28 проектов по тестированию на проникновение, 39% протестированных организаций входят в рейтинг RAEX-600.
«Из организаций, в которых удалось провести внутреннее тестирование на проникновение, 100% не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой», – констатируют аналитики.
В 21% проекте белые хакеры обнаружили следы компрометации, в том числе работающие веб-интерпретаторы командной строки или изменения в конфигурационных файлах. Это значит, что реальные злоумышленники ранее скомпрометировали ИТ-инфраструктуру организации.
Исследователи выяснили, что:
- в 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО;
- в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений;
- в 19% организаций были подвержены критически опасным уязвимостям парольной политики;
- 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.