Порядка 90% госструктур уязвимы не только для продвинутых кибергруппировок, но и для злоумышленников с низким уровнем квалификации (киберхулиганов). Основные ИБ-проблемы связаны с отсутствием своевременного обновления ПО и базовых средств защиты, а также недостаточной защитой закрытых сегментов сети. К таким выводам пришли эксперты центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар», проанализировав данные о более чем 40 госорганизациях и органах власти федерального и регионального уровня.

Уязвимости, описанные в отчете «Ростелеком-Солар», обнаружены на этапе пилотных подключений заказчиков к сервисам центра мониторинга и реагирования на кибератаки Solar JSOC, в процессе расследования сложных инцидентов командой JSOC CERT, а также в рамках работ по анализу защищенности, тестированию на проникновение или Red Teaming.

«Последнее время мы наблюдаем явную сегментацию профиля киберпреступников в зависимости от типа жертвы. В частности, атаки на госсектор инициируются либо так называемыми киберхулиганами с простым инструментарием, либо продвинутыми кибергруппировками и кибервойсками, которые применяют более сложные методики и специально разработанные утилиты. Первые нацелены на несложную монетизацию и занимаются шифрованием серверов и компьютеров, скрытым майнингом криптовалюты, созданием из полученных ресурсов бот-сетей для организации DDoS-атак или фишинговых рассылок. Вторые – стараются получить длительный контроль над инфраструктурой или доступ к конфиденциальным данным с целью кибершпионажа», – комментирует директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков.

Уязвимости, которые используют киберхулиганы, часто возникают из-за отсутствия обновлений ПО в изолированных от интернета сегментах сети. Это связано с тем, что служба обновления сама не может «подтянуть» необходимые пакеты из сети, а в ручном режиме этот процесс отсутствует в 96% организаций. В итоге более 90% рабочих станций и серверов имеют ошибки в реализации протокола удаленного рабочего стола (RDP), а более 70% – ошибки в реализации протокола удаленного доступа к сетевым ресурсам (SMB).

Часть госструктур используют унаследованные (legacy) системы с устаревшим кодом и протоколами шифрования. Например, незащищенное интернет-соединение (чаще всего http) используют более 50% организаций, а более 70% – веб-приложения, подверженные классическим уязвимостям, например, SQL-инъекциям и межсайтовому скриптингу (XSS). Базовой защиты электронной почты нет в 70% случаев, что на фоне общего низкого уровня кибергигиены пользователей гарантирует практически 100% успех даже самой простой фишинговой рассылки.

Все это приводит к тому, что большинство госструктур заражены хорошо известным и относительно старым вредоносным ПО. В частности, признаки печально известного вируса WannaCry есть в 60% организаций, в 85% – вируса-майнера Monero Mine, а в 90% – признаки ВПО типа червь, переносимого через внешние носители.

Продвинутые кибергруппировки и кибервойска используют в первую очередь не технические, а процессные уязвимости. Например, ищут в инфраструктуре жертвы неучтенные точки доступа к системе, чтобы попасть в менее защищенный публичный сегмент, а дальше через него проникнуть в ту часть, которая хранит чувствительные данные. Согласно отчету, в 90% госорганизаций обнаруживаются от 3 до 10 точек связанности публичного и закрытого сегментов.

Кроме этого, одной из наиболее критичных уязвимостей госсектора является некорректный процесс работы с ИТ-подрядчиками. Обычно в организациях для них нет единой точки входа в инфраструктуру, а их устаревшие учетные записи, создаваемые на время контракта, не удаляются даже после завершения работ. При этом продвинутые кибергруппировки и кибервойска часто используют методику атаки через подрядчика: взламывают слабозащищенного контрагента и через его инфраструктуру попадают в систему жертвы.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

«Ростелеком» и «Солар» усилили защиту данных «Мосэнергосбыта» с помощью ГОСТ VPN

Узнать больше
Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Двойной юбилей: «Солар» отмечает знаковую дату всеобъемлющей программой участия в ЦИПР 2025

Узнать больше
Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Первому игроку приготовиться: Webrat крадет личные данные любителей популярных видеоигр и пиратского ПО

Узнать больше
26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

26 стран мира примут участие в IV Международном киберчемпионате по информационной безопасности

Узнать больше
«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

«Солар» запустил первый в РФ сервис защиты интернет-магазинов от веб-атак с финансовыми гарантиями

Узнать больше
Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Solar Dozor: за 25 лет – от пионера до ведущей DLP-системы

Узнать больше
«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

«Солар»: 85% российских компаний планируют киберучения для защиты инфраструктуры в 2025 году

Узнать больше
«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

«Солар» поможет быстро оценить готовность сотрудников компаний РФ к кибератакам

Узнать больше
«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

«Солар» выводит на рынок Solar inRights Origin с функцией нейропомощника, доступной ценой и коротким сроком внедрения

Узнать больше
«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

«Солар» увеличил выручку на 34% до 3,1 млрд руб. в первом квартале 2025 года

Узнать больше