По состоянию на май 2025 года в крупнейшей базе данных уязвимостей CVE MITRE(которая ведется с 1999 года) содержится описание более 295 000 уязвимостей. И темпы добавления новых записей ежегодно растут. Так, в 2021, 2022, 2023 и 2024 годах было добавлено 20 161, 25 059, 28 961 и 40 077 новых записей соответственно. Рис.1 Темпы добавления новых записей в базу данных уязвимостей CVE MITRE Уязвимость – это способ попасть в инфраструктуру конкретной компании и действовать там с непредсказуемыми для компании последствиями, от репутационных потерь в результате утечек данных до полной остановки бизнеса. Меня зовут Геннадий Перминов, я представляю команду анализа защищенности компании «Нейроинформ». Сегодня мы понятным языком на реальных примерах поговорим о том, что такое уязвимости, откуда они берутся и что делать, чтобы себя обезопасить. Какие уязвимости бывают Итак, уязвимости информационной системы — это недостатки информационных систем, позволяющие злоумышленнику совершать действия, не предусмотренные производителем конкретной информационной системы. В каком-то смысле, показывать фокусы, доставая из шляпы клиентскую базу данных, пароли администратора, средства со счетов компании и т.д. Вот несколько примеров уязвимостей: уязвимость бизнес-логики. Сайт позволяет кому угодно восстановить «забытый пароль» пользователя без какой-либо проверки отказ в обслуживании. При вводе вместо имени пользователя строки «SLEEP(50000)» сайт зависает и на несколько минут становится недоступен для всех пользователей удаленное исполнение кода. С помощью специальной программы злоумышленник через интернет заставил сервер выполнять команды и получил над ним полный контроль неправильная конфигурация. Администратор забыл изменить на роутере заводской пароль admin/admin. И теперь кто угодно может им управлять Уязвимостей систем информационной безопасности существует огромное количество. Их использование для совершения несанкционированных действий в системе называется эксплуатацией. Эксплуатация может принимать разные формы: обход механизмов аутентификации (проверки легитимности пользователя), создание бэкдоров (скрытых программ для удаленного управления компьютером) для дальнейшего контроля над системой, распространение вирусов и программ-вымогателей. Откуда они берутся Обычно угрозы и уязвимости информационных систем возникают из-за ошибок: на этапе проектирования по вине системных архитекторов. Например, выбор слабых алгоритмов шифрования или отсутствие проверки пользователей на этапе программирования по вине разработчиков. Например, из-за ошибок программа выполняет непредусмотренные функции на этапе внедрения по вине администраторов. Например, ошибки в настройках прав доступа к файлам на этапе эксплуатации по вине администраторов и пользователей Например, несвоевременное обновление ПО или хранение паролей в открытом виде Такие уязвимости носят случайный характер, относительно быстро обнаруживаются и устраняются. Однако известны случаи, когда уязвимости оставались необнаруженными десятилетия. Shellshock, Meltdown, Spectre и другие жили 20-25 лет и передавалась от одного поколения информационных систем и «железа» к другому. Уязвимости могут возникать не только из-за ошибок, но и вноситься преднамеренно. Скажем, при взломе компаний-разработчиков, злоумышленники могут получить доступ к исходным кодам программ и внести в них изменения. Такой тип атак получил название Supply Chain Attack (атака на цепочку поставок). Это очень опасная ситуация, потому что злоумышленникам больше не нужно взламывать большое количество жертв. Вместо этого нужные уязвимости и злонамеренные функции сами попадут в системы жертв, например, через автоматические обновления. Хрестоматийный примеры такой атаки - взлом компании SolarWinds. Вредоносное ПО для несанкционированного удаленного доступа распространилось в Министерство финансов США, Министерство торговли США, Microsoft, Cisco, Intel, FireEye и др. Как они обнаруживаются Вновь обнаруженные уязвимости, против которых еще не разработаны защитные механизмы, называю уязвимостями нулевого дня (от англ. Zero-day или 0-day). Обычно о них становится известно, когда уже совершено какое-то киберпреступление. Из-за отсутствия мер защиты киберпреступники могут эффективно и беспрепятственно использовать их снова и снова. В Даркнете даже сложился рынок уязвимостей нулевого дня, цены на котором начинаются от десятков тысяч и доходят до миллионов долларов. Производители ПО реагируют на появление уязвимостей по-разному – от выпуска срочных рекомендаций по смягчению последствий (Mitigation), пока ошибка кода не устранена, до выпуска патча или релиза новой версии ПО с исправлениями, прошедшими все тесты. Другое дело, что установка патчей и обновлений не всегда происходит своевременно именно на стороне пользователей. Опыт специалистов компании Нейроинформ показывает, что из проведенных в 2024 и первой половине 2025 годов пентестов: 19% компаний имели критические уязвимости 47% - имели уязвимости высокого уровня 63% - уязвимости среднего уровня 84% - недостатки низкого уровня критичности Все эти уязвимости известны. Для них существуют патчи или выпущены новые версии ПО, которые не были установлены. Кто-нибудь ведет учет известных уязвимостей? «Коллекционированием» уязвимостей занимаются специализированные публичные сервисы. В основном они используются в профессиональном сообществе. Вот достаточно полный, но не исчерпывающий список: база данных CVE — Common Vulnerabilities and Exposures. Представляет собой систему уникальных идентификаторов уязвимостей (например: CVE-2024-12345). На сегодняшний день является крупнейшей БДУ ФСТЭК России — Банк данных угроз безопасности информации. Также является общедоступной базой данных угроз и уязвимостей база данных NVD — National Vulnerability Database. Это официальная база уязвимостей, поддерживаемая Национальным институтом стандартов и технологий (NIST, США), основана на базе данных CVE сервис Vulners. Это коммерческий агрегатор уязвимостей и эксплойтов сервис ExploitDB — Exploit Database. База данных публично доступных эксплойтов, сопровождаемых техническим описанием база знаний CERT (Computer Emergency Response Team) / US-CERT. Публикует рекомендации по кибербезопасности, включая известные уязвимости и угрозы. Часто выпускает аналитические отчеты и сигналы угроз (alerts), полезные для организаций А еще похожие базы ведут большинство крупных производителей применительно к собственному продукту. Например, Microsoft Security Response Center (MSRC), Cisco Security Advisories, Oracle Security Advisories, Adobe Security Bulletins, TP-Link Security Advisories и другие. Выводы Сегодня мы разобрали, что такое уязвимости, как они возникают и к чему могут привести. Основная рекомендация – это своевременное обновление ПО и соблюдение правил цифровой гигиены при работе в интернете. Подготовили для вас памятку: "Что такое уязвимости и чем они опасны для бизнеса" Скачайте по ссылке Эффективным методом выявления уязвимостей в информационной системе компании является проведение независимого тестирования на проникновение. По результатам пентеста вы получите не только независимую оценку текущего состояния защищенности, но и демонстрацию того, каким образом злоумышленник мог использовать найденные уязвимости, а также рекомендации по их устранению. Будьте бдительны, а мы поможем. Автоматическая киберзащита для вашего бизнеса Регулярный контроль чувствительных данных компании, понятные отчёты и экспертная поддержка с точными рекомендациями. запросить демо Советы по ИБ на практике Поделиться
