В условиях постоянной эволюции киберугроз и ужесточения нормативных требований как никогда важно понимать, на каком уровне находятся организации. Approach Cyber опубликовала свой ежегодный отчет «Пентест 2025» и предложила объективный взгляд на уязвимости, которые определяют современный ландшафт безопасности, и на то, что можно сделать для их устранения.
В отчете отмечается значительное и вызывающее обеспокоенность увеличение числа критических уязвимостей в веб-приложениях, API и инфраструктурных системах. Основанный на более чем 100 реальных тестах на проникновение, проведенных в 13 отраслях, отчет содержит строгую, основанную на данных оценку современной ситуации в области цифровых угроз.
Результаты показывают, что почти две из пяти выявленных уязвимостей представляют высокий или критический риск. Многие из них являются результатом неэффективных мер контроля доступа, неправильно настроенной аутентификации и недостаточных практик управления неисправностями. Безопасность инфраструктуры остается слабым звеном. Около 60 % уязвимостей считаются высокими или критическими, в основном из-за устаревших систем и неэффективного контроля привилегий.
Вызывает беспокойство тот факт, что, как подтверждается в отчете, автоматических сканеров уязвимостей недостаточно. Многие из наиболее опасных уязвимостей не были обнаружены с помощью инструментов и были выявлены только в ходе ручных тестов, проведенных экспертами. Реальные кейсы, включенные в отчет, иллюстрируют, как хакеры смогли связать воедино незначительные уязвимости, чтобы скомпрометировать целые домены. Таким образом, выделяются те же тактики, которые использовались в кампаниях по распространению программ-вымогателей и крупных взломах по всему миру.
Обнадеживает тот факт, что организации, которые инвестируют в регулярное тестирование и меры по устранению недостатков, отмечают значительное снижение результатов с высоким уровнем риска. До 70 % меньше, чем у клиентов, которые проходят тестирование впервые.
