Пентест, AppSec и red team изнутри: проекты, уязвимости, рекомендации
Мы собрали данные анализа сотен проектов, выполненных за последний год, чтобы показать уровень защищенности в разных отраслях. Это поможет проверить, насколько лучше или хуже защищена ваша компания по сравнению с другими и какие риски могут быть актуальны именно для вашего бизнеса.
В материале мы показываем, как проводим тестирование и каких целей достигаем, разбираем статистику проектов, сценарии атак, а еще даем рекомендации по поиску уязвимостей и защите компании.
- В 46% случаев специалистам BI.ZONE удавалось получить доступ к конфиденциальным данным.
- Самые часто достигаемые цели атак — получение доступа к конфиденциальным данным, а также получение доступа к исходным кодам и учетным записям.
- В ходе проектов за последний год мы обнаружили и проэксплуатировали больше 260 уязвимостей уровня critical и high.
- В 90% случаев эксперты BI.ZONE Red Teaming получали доступы во внутреннюю сеть компаний.
Тестирование на проникновение позволяет найти уязвимости в информационных системах, сетях и приложениях, а также помогает компаниям:
- предотвращать инциденты до их наступления;
- улучшать меры безопасности и адаптировать системы к новым угрозам с помощью анализа данных, полученных в ходе тестов;
- проверять, готова ли команда реагировать на реальные киберинциденты;
- оттачивать профессиональные навыки специалистов по кибербезопасности;
- соответствовать требованиям законодательства, например ОУД-4 и 152-ФЗ;
- укреплять доверие клиентов и партнеров, показывая, что компания следит за кибербезопасностью;
- внедрять новые технологии, оценивая их безопасность и сокращая риски.
Например, практика показывает:
- Проверка веб-приложений чаще всего выявляет много уязвимостей средней и низкой степени критичности. Это связано с частыми изменениями, сложной логикой и быстрыми релизами.
- Внутренние пентесты чаще приводят к обнаружению критических и высоких уязвимостей — в периметре компании недостаточно контроля, и при наличии доступа последствия могут быть максимальными.
- Red team — это тест не на количество, а на результат. Такие проекты выявляют ограниченное число уязвимостей, но каждая из них связана с достижением целей атаки: доступом к почте, Active Directory, критичным данным.
- Внешние пентесты помогают понять, насколько ваша инфраструктура устойчива к атакам из интернета. Здесь больше уязвимостей среднего и низкого уровня.
- Мобильные приложения обычно демонстрируют более высокий уровень защищенности, но и при их проверке регулярно находятся уязвимости, связанные с обработкой данных, безопасностью хранения информации и аутентификацией.
В зависимости от целей мы используем разные подходы. Каждый тип пентеста решает свою задачу: от проверки внешнего периметра, внутренних систем или конкретных пользовательских приложений до комплексного моделирования реальной атаки (red team). Мы собрали статистику и показали, какие подходы чаще всего выявляют критические уязвимости.
Выбирайте тип тестирования в зависимости от бизнес-целей.
Тестирование одного или нескольких связанных приложений обеспечивает максимальное покрытие при поиске уязвимостей в конкретной системе. Его цель — найти как можно больше технических и логических уязвимостей.
Кому подходит. Компаниям с активной продуктовой разработкой.
Как проходит. Может проводиться по моделям black box
Проверка внешнего периметра компании с целью найти максимальное число уязвимостей и добраться до внутренней сети компании. Обеспечивает максимальную широту покрытия при поиске уязвимостей на внешнем периметре.
Кому подходит. Компаниям, которые хотят понять, насколько защищены их внешние ресурсы и оценить поверхность атаки.
Как проходит. Как правило, проходит по модели black box. Часто пентестеры получают имя домена, IP‑адрес или название компании, а цели тестирования ищут сами с помощью техник OSINT
Тестирование внутренней инфраструктуры компании с целью получить контроль над критически важными данными и сервисами. Помогает оценить безопасность специфичных для внутренних сетей систем: Active Directory, Kubernetes и т. д.
Кому подходит. Компаниям, которые хотят оценить последствия компрометации сотрудника или устройства.
Как проходит. Обычно выполняется без активного противодействия со стороны тестируемой компании по разным моделям: black box, white box и gray box.
Эмуляция атак злоумышленников, которая помогает проверить качество процессов кибербезопасности и готовность команды к предотвращению и отражению атак. Максимально точно воспроизводит реальную атаку высококвалифицированного злоумышленника.
Кому подходит. Компаниям, которые хотят понять, как далеко может зайти настоящий атакующий.
Как проходит. Red team предполагает активное противодействие, поэтому обычно сотрудники отдела кибербезопасности или SOC не знают о проверке и реагируют на ситуацию, как на обычный инцидент. В зависимости от выбранной модели злоумышленника
Если вы разрабатываете встраиваемые системы (IoT, ПАК), не забывайте и о физической безопасности устройства на всех уровнях его работы. Эксперты нашей лаборатории по анализу защищенности программно-аппаратных комплексов предлагают поддержку в обеспечении безопасности разработки умных устройств на всех уровнях их работы.
График ниже показывает, как распределяется уровень защищенности компаний по отраслям: от высокотехнологичного сектора до промышленности и медицины.
Традиционно наиболее зрелыми с точки зрения кибербезопасности оказались IT и сектор финансовых услуг.
В случае с финансами на повышение уровня зрелости влияют сразу несколько факторов:
- Финансовая мотивация злоумышленников, которая делает отрасль их приоритетной целью. Для банков, финтех-компаний и платежных систем эта проблема стоит особенно остро, поскольку успешная эксплуатация уязвимостей может привести к серьезным денежным потерям. По данным за 2024 год, финансовая отрасль была второй самой атакуемой в России.
- Жесткое государственное регулирование и требования к соответствию (комплаенс).
Если говорить об IT-секторе, то здесь высокая зрелость объясняется высокой осведомленностью и хорошей технической подготовкой специалистов, а также привлекательностью подобных компаний для злоумышленников.
При этом даже в этих отраслях встречаются компании с низким уровнем защищенности — несмотря на доступ к лучшим практикам и технологиям. Это подчеркивает, что зрелость в кибербезопасности зависит не только от сектора, но и от приоритетов, а также стратегии управления конкретной организации.
В отраслях с низким уровнем цифровизации — энергетике, здравоохранении, строительстве — ситуация заметно сложнее. Здесь нередко отсутствуют даже базовые средства защиты, что делает компании особенно уязвимыми. Даже если какие-то меры и приняты, они зачастую не охватывают все критически важные зоны и не соответствуют современным требованиям к устойчивости инфраструктуры.
Независимо от отрасли, злоумышленники ставят перед собой вполне конкретные цели атак: получить доступ к конфиденциальной информации, обойти авторизацию, захватить контроль над инфраструктурой. Мы проанализировали результаты тестов на проникновение и зафиксировали наиболее вероятные и критичные сценарии компрометации. Рассмотрим два сектора, в которых у нас было больше всего проектов, — IT и финансы.
Вот самые часто достигаемые цели пентестов в IT-проектах:
Менее чем в 5% случаев фиксировались получение доступа во внутреннюю сеть, полный контроль над доменной инфраструктурой и обход механизмов авторизации.
Несмотря на высокий уровень зрелости в подходах к защите, компании остаются уязвимыми, особенно в области защиты персональных и корпоративных данных:
- Получение доступа к исходным кодам может не только привести к репутационным рискам, но и повысить вероятность последующих атак, направленных на эксплуатацию логики приложения.
- Компрометация учетных записей и баз данных фактически открывает злоумышленникам путь к критичным операциям без необходимости искать технические уязвимости.
В сфере финансов также чаще всего удавалось получить доступ к конфиденциальным данным. Это закономерно: такие сведения — лакомая цель для атакующих, ведь они включают информацию о финансовых операциях и персональные данные клиентов. Для компаний защита этих активов — один из ключевых приоритетов, поэтому при тестировании на проникновение мы акцентируем внимание на векторах атак, которые потенциально могут привести к утечке таких данных.
Ниже — наиболее частые сценарии компрометации, выявленные в ходе пентестов организаций финансового сектора.
Примечательно, что в этой отрасли чаще, чем в IT, удавалось успешно обойти механизмы локальной аутентификации (в 4% проектов против 1%).
В финансовых организациях цифровые процессы напрямую связаны с денежными операциями и выполнением законодательных требований. Поэтому даже единичный случай получения доступа к внутренним системам может иметь серьезные последствия: от финансовых потерь до блокировок со стороны регуляторов.
Периодически встречающиеся успешные сценарии обхода авторизации и социальной инженерии показывают, как важно переосмысливать модели доверия и укрепления пользовательских сценариев защиты.
Наши проекты показывают, что даже в компаниях со зрелыми процессами кибербезопасности остаются слепые зоны, которые можно использовать для атаки.
В основном целями проектов red team были захват домена и получение контроля над определенными сегментами инфраструктуры. Однако мы учитывали специфику деятельности и инфраструктуры клиента и часто предлагали дополнительные цели. Например, публикацию негативной новости или получение доступа к дистанционному банковскому обслуживанию.
Проекты red team в 2024‑м показали, что уровень зрелости компаний повысился по сравнению с 2019–2024 годами. В частности:
- Мы обнаруживали 0‑day‑уязвимости в проприетарном или публичном ПО только в рамках каждого третьего проекта.
- Службы безопасности стали часто выявлять посторонних в офисе с помощью камер, однако почти всегда уже после того, как красная команда покинула офис.
- Увеличилась эффективность сетевых СЗИ: с помощью анализа трафика они стали лучше замечать попытки эксплуатации уязвимостей, даже в случае использования модифицированных эксплоитов.
Злоумышленники могут воспользоваться местами, где компания недооценивает риски:
- Уязвимые сервисы на внешнем периметре. Это и приложения, разработанные атакуемой компанией, и известные, но не обновленные, сервисы, такие как «Битрикс» и Confluence.
- Электронная почта. Особенно эффективны фишинговые атаки, которые проводятся со скомпрометированной доверенной учетной записи.
Пример сценария фишинговой атакиСотрудник получал сообщение с предложением протестировать нейросеть для автоматизации коммуникаций. По ссылке содержался исполняемый файл, скачав и установив который, сотрудник предоставлял доступ к своему устройству.
Такие письма от нашей команды позволяют выяснить, как работают средства защиты и нужно ли дополнительно обучать сотрудников. - Wi-Fi. Слабые настройки Wi‑Fi позволяют проводить атаку evil twin
, направленную на подключенных пользователей для получения их доменных паролей. А если разграничения сетей настроены неправильно, через Wi‑Fi можно получить доступ к внутренним ресурсам. Это позволяет развить атаку с помощью фишинга или эксплуатации уязвимостей. - Физический доступ. Слабый контроль доступа в здание и отсутствие проверок позволяют проникать в офис даже без пропуска. В одном из случаев охранник заметил нашего специалиста только через 4,5 часа, поверил тому, что он новый сотрудник, и отпустил.
1. Broken access control
Позволяет использовать функции, которые не должны быть доступны пользователям согласно их роли. Часто приводит к утечкам, повреждению или модификации данных, а также другим последствиям в зависимости от бизнес-функций приложения.
2. Misconfigurations
Ошибки настройки систем, приложений или сетей, позволяющие злоумышленникам получить доступ к данным, сервисам или инфраструктуре. Часто приводят к утечкам данных, раскрытию конфиденциальной информации, удаленному выполнению кода, а также упрощают эксплуатацию других уязвимостей.
3. Well known vulnerabilities
Уязвимости, описанные в общедоступных базах, например CVE. Часто связаны с устаревшим или необновленным ПО. Приводят к компрометации данных, выполнению кода или нарушению работы системы.
4. Information disclosure
Уязвимости, связанные с утечкой конфиденциальной информации. Могут привести к серьезным последствиям, включая юридические проблемы и потерю доверия клиентов.
5. Injections
Уязвимости, при которых злоумышленник внедряет вредоносный код или команды в поля ввода приложения. Могут привести к утечке информации, удаленному выполнению команд, повреждению базы данных или обходу механизмов аутентификации.
6. Business logic flaws
Ошибки в реализации бизнес-логики приложения, позволяющие злоумышленникам обойти ограничения, нарушить последовательность процессов или использовать функциональность приложения в своих целях. Часто приводят к финансовым потерям, неправомерному доступу или нарушению целостности данных.
7. Default and weak credentials
Использование учетных данных по умолчанию или слабых паролей, которые злоумышленникам легко угадать или подобрать. Это упрощает несанкционированный доступ к системам, сервисам или устройствам, что может привести к компрометации данных и инфраструктуры.
8. Insecure data storage
Уязвимости, при которых критичные данные, например API-ключи, пароли, токены, учетные данные сервисов, хранятся на стороне клиентского приложения без должной защиты, поэтому их легче украсть.
9. Denial of service (DoS)
Уязвимости, связанные с DoS, заключаются в том, что у системы или приложения есть архитектурные или эксплуатационные недостатки, которые позволяют злоумышленникам легко перегрузить их ресурсами. Это может быть, например, отсутствие ограничений на количество запросов, плохая обработка исключений или слабое управление ресурсами.
10. Broken cryptography
Использование устаревших, уязвимых или неправильно реализованных криптографических алгоритмов, ключей или протоколов. Может привести к расшифровке данных, компрометации конфиденциальной информации и подделке цифровых подписей.
Советуем внедрить контроли безопасности на ранних стадиях разработки и уделить отдельное внимание следующему:
- Код. Проведите код-ревью и анализ уязвимостей, связанных с распространенными проблемами, например XSS
и SQL-инъекциями . Используйте статические и динамические анализаторы кода. - API. Проводите ручное и DAST-тестирование API, еще уделите внимание фаззингу полей ввода и проверке ролевой модели.
- Инфраструктура. Обязательно проводите инвентаризацию инфраструктуры: следите, чтобы не было неизвестных открытых портов и сервисов. Вовремя обновляйте компоненты и ПО. Используйте золотые образы конфигураций для типовых сервисов.
- Сторонние компоненты. Перед использованием внешних библиотек, фреймворков и т. д. убедитесь, что они поставляются из надежных источников, регулярно обновляются и не содержат известных уязвимостей.
Следите за безопасностью:
- Настройте обработку ошибок в ваших приложениях. Используйте общие сообщения об ошибках, которые не дают злоумышленникам лишней информации. Не раскрывайте конфиденциальные данные или внутренние детали системы.
- Используйте систему логирования и мониторинга. Она поможет выявлять неожиданное поведение системы, а еще — расследовать киберинциденты, если они произойдут.
- Применяйте контейнеризацию. Это поможет изолировать приложения и их зависимости, чтобы улучшить безопасность.
- Обновляйте зависимости. Регулярно проверяйте и обновляйте сторонние библиотеки и зависимости, используемые в ПО, чтобы устранить известные уязвимости.
- Обеспечьте комплаенс. Соблюдайте требования законодательства и регуляторов, например 152‑ФЗ и 719‑П.
Организуйте процесс выявления уязвимостей:
- Регулярно проводите внутренние и внешние пентесты. Регулярно выявляйте новые уязвимости и оценивайте эффективность существующих мер безопасности. Это поможет оперативно находить и устранять слабые места.
- Документируйте уязвимости и меры по их устранению. Фиксируйте в отдельном документе все выявленные уязвимости, а также принятые меры. Это поможет отслеживать прогресс и планировать дальнейшие действия.
- Внедряйте процессы безопасной разработки. Тестирование на уязвимости в ходе разработки поможет выявить и исправить проблемы на ранних этапах.
- Разработайте политику управления уязвимостями. Создайте четкую политику управления уязвимостями, которая включает регулярные проверки, оценку и устранение уязвимостей.
- Внедрите багбаунти. Запуск программы багбаунти позволит получать информацию об уязвимостях от независимых исследователей — это усилит тестирование внешних активов.
В условиях растущих киберугроз безопасность данных и систем — первоочередная задача для организаций. Следующие советы помогут повысить уровень защиты информационных систем и создать культуру безопасности в компании:
- Регулярно обновляйте ПО. Установка патчей и обновлений помогает устранить уже известные уязвимости в операционных системах, приложениях и библиотеках.
- Используйте MFA
. Внедрение многофакторной аутентификации для доступа к критически важным системам и данным повышает уровень безопасности. - Создавайте резервные копии. Регулярно делайте копии важных данных и проверяйте их на восстановление. Это поможет защитить информацию от потерь в случае инцидентов.
- Шифруйте данные. Используйте шифрование для защиты конфиденциальной информации как в состоянии покоя, так и при передаче. Это поможет снизить риски утечек.
- Контролируйте доступ. Применяйте принцип минимально необходимых прав, ограничивая доступ пользователей к данным и системам. Регулярно пересматривайте и обновляйте права доступа.
- Используйте брандмауэры и средства защиты от вторжений. Настройте брандмауэры и системы обнаружения вторжений для фильтрации трафика и предотвращения несанкционированного доступа.
- Применяйте принципы безопасной конфигурации. Используйте минимально необходимые сервисы и отключайте все ненужные функции и порты.
- Организуйте мониторинг сети. Внедрите такие системы, как SIEM, EDR, SOC, которые помогут анализировать логи и выявлять аномалии.
- Внедряйте процессы безопасной разработки. Такие контроли, как SAST, SCA, DAST, Secret Scanning, IaC Scanning, помогают находить уязвимости на этапе разработки, а значит, удешевлять их исправление и предотвращать появление в системах.
Мы предлагаем различные услуги в этом направлении.
