Почти половина (44%) уязвимостей систем дистанционного банковского обслуживания (ДБО) имеет высокий уровень риска. Такие выводы содержатся в исследовании экспертов Positive Technologies в 2013 и 2014 годах, проанализировавших защищенность ряда крупнейших банков.
Наиболее часто в системах ДБО встречались уязвимости, связанные с возможностью идентификации используемого ПО и с предсказуемыми форматами идентификаторов пользователей (57% систем). Более чем в половине систем (54%) обнаружены ошибки в программном коде типа "Межсайтовое выполнение сценариев". Если при наличии этой уязвимости в системе клиент банка перейдет по вредоносной ссылке, атакующий может получить доступ к системе ДБО с привилегиями этого клиента.
Распространены также уязвимости, позволяющие реализовать атаки на сессии пользователей (54% систем). Сюда относятся уязвимости, связанные с некорректным завершением сессий, некорректной настройкой cookie-параметров, возможностью параллельной работы нескольких сессий для одного пользователя, отсутствием привязки сессии к IP-адресу клиента и др. При успешной атаке злоумышленник может получить доступ к личному кабинету пользователя с его привилегиями.
В Positive Technologies пришли к выводу, что уязвимостей высокой степени риска больше в системах ДБО, предоставленных вендорами (49%), чем в системах собственной разработки конкретного банка (40%). Как отмечается в исследовании, системы, поставляемые профессиональными разработчиками, в среднем содержат в 2,5 раза больше уязвимостей на уровне кода приложения, чем системы собственной разработки. Этот факт эксперты объясняют тем, что при использовании ПО от вендора банк в вопросах качества кода полагается главным образом на поставщика. При этом сложная архитектура, кроссплатформенность и большое количество функций систем ДБО не всегда позволяют вендору обеспечить должный уровень защищенности на уровне кода приложения. Но и свои разработки не гарантируют защиту.
"Вопрос безопасности самописного программного обеспечения в корпоративной среде поднимается далеко не в первый раз, - отметил антивирусный эксперт "Лаборатории Касперского" Юрий Наместников. - Как показывает практика разработки крупных проектов, такие большие системы практически всегда функционируют с достаточно большим количеством ошибок, и, соответственно, в них априори присутствует ряд уязвимостей. Причем это не зависит от того, кто разрабатывал ПО, - сама организация или вендор". По словам эксперта, так как ошибок избежать в любом случае невозможно, с точки зрения безопасности наиболее важными факторами являются скорость обнаружения уязвимостей в ПО и, что не менее критично, скорость закрытия высокоприоритетных уязвимостей, которые могут привести к компрометации системы или выводу ее из строя.
"Имея дело с собственными разработками, банку сложнее находить уязвимости в ПО, так как процесс поиска и закрытия последних необходимо выстраивать самостоятельно от начала и до конца, - добавил Наместников. - С системами от вендоров дело несколько проще, поскольку аудитом безопасности и закрытием уязвимостей занимается сам вендор". Помимо этого, система, как правило, установлена не в одном банке, а следовательно, и скорость обнаружения критичных уязвимостей становится выше. Например, если в одном банке была обнаружена конкретная уязвимость, то оперативно она будет закрыта во всех банках, где установлено такое ПО.
Источник: rg.ru
Комментариев нет:
Отправить комментарий