«Солар» назвал топ 5 критических уязвимостей банковских приложений
В финансовых приложениях, где обрабатываются конфиденциальные данные и транзакции пользователей, безопасность кода имеет важное значение. Эксперты ГК «Солар» проана-лизировали миллионы строк кода с помощью статического, динамического анализа и ана-лиза сторонних компонентов и оценили степень критичности обнаруженных уязвимостей. Низкий уровень защищенности исследователи отметили в 20% приложений, средний – в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязви-мость. Одной из самых распространенных уязвимостей в финансовых приложениях является не-достаток контроля доступа (78%). Корректно разграниченный доступ особенно важен для организаций сектора. Отсутствие контроля за привилегиями сотрудников может привести к тому, что как внутренний, так и внешний нарушитель получает нелегитимный доступ к са-мому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонаме-ренных целях. В качестве мер защиты в данном случае специалисты «Солара» рекомен-дуют использовать реализацию принципа наименьших привилегий, а также мониторинг из-менений прав доступа. Межсайтовый скриптинг (XSS) по-прежнему остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распро-страненный пример — кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, банкам необходимо более тщательно валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP). Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов — третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику быстро подобрать значения хэш-функции или получить доступ к данным. 36% уязвимостей пришлись на недостатки логирования и мониторинга. Отсутствие или не-достаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе. То есть в ИТ-системе есть запись о совершении самой транзакции, однако возникает недо-статок технологической информации о процессе, что также может затруднять расследова-ние киберинцидентов. Внедрение централизованного логирования, мониторинг подозри-тельной активности, использование SIEM-систем помогают финансовым организациям из-бежать подобных рисков. Избыточное логирование, в свою очередь, так же может привести к инцидентам ИБ. Напри-мер, сохранение функций полного логирования (обычно используется на этапе разработки и тестирования) в промышленной эксплуатации может привести к небезопасному хранению данных пользователя вне информационных систем. Сейчас большинство зрелых финансовых организаций отказываются от монолитных ин-формационных систем в пользу микросервисной архитектуры. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недо-статочный контроль API, включая сохранение скрытых точек входа может привести к утеч-ке данных или несанкционированному доступу и, по данным исследования «Солара», вхо-дит в топ-5 уязвимостей (25%). Такие риски позволяет нивелировать использование OAuth, JWT, своевременная проверка прав доступа. Помимо вышеперечисленных уязвимостей в топ-10 самых распространенных также вошли: небезопасная аутентификация и управление сессиями; небезопасная конфигурация; недо-статки в обработке ошибок и шифровании; уязвимости в сторонних библиотеках; а также перехват сессий. По данным центра противодействия кибератакам Solar JSOC, в 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. Одна из причин — резкий рост атак по типу подбора логина к имеющемуся словарному паролю. «По данным “Солара”, объем утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, ад-реса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию. По объему утечек финансовая отрасль стала наиболее уязвимой среди дру-гих, опережая все сектора экономики, в том числе и госсектор. Мы наблюдаем постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений. Интерес к таким инструментам со стороны банков год к году возрастает, что подтверждают результаты наших исследований. В основном это свя-зано со стремлением финансовых организаций соответствовать требованиям регуляторов и совершенствованием законодательства в части разработки ПО. Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей приложений», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener. Solar appScreener — комплексное решение для контроля безопасности приложений, соче-тающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может ис-пользоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки. Анализ защищенности мобильных приложений для операционных систем Android и iOS проводился аналитиками «Солара» посредством статического анализа без функционала декомпиляции кода и опросов заказчиков.
Компания «ЭлНетМед», разработчик платформы N3.Health, выяснила, без каких цифровых сервисов не обойтись современной частной клинике. Лидерами стали онлайн-запись, электронный обмен данными с партнерами и личный кабинет для пациента.
Министерство цифрового развития, связи и массовых коммуникаций России внесло HR-платформу для автоматизации и подбора персонала Carrot от компании Fork-Tech в реестр отечественного программного обеспечения.
Utrace, российский разработчик решений для управления цифровой маркировкой, адаптирует свой флагманский продукт Utrace HUB под требования производителей и импортеров товаров личной гигиены.
О методах организации работы клиник и современных технологиях, позволяющих обеспечивать безопасность и повышать качество лечения, рассказали эксперты ГК «ММЦ» на конференции «Актуальные вопросы безопасности в медицинской деятельности».
Платформа виртуализации рабочих столов Space VDI стала лидером рейтинга российских VDI-решений, по версии независимых экспертов портала IaaSSaaSPaaS.ru.
Компания «Хи-Квадрат» представила шестую версию платформы для быстрой разработки приложений и сложных бизнес-систем с минимальными затратами на программирование XSQUARE, основанной на PostgreSQL. Новая версия станет доступна с января 2026 года, сейчас XSQUARE 6.0 передана в учебные центры и партнерам для тестирования.
Разработчик платформы унифицированных коммуникаций CommuniGate Pro сообщает о получении сертификата соответствия ФСТЭК России с присвоением 5-го уровня доверия. Сертификат подтверждает, что платформа может быть использована в инфраструктурах с повышенными требованиями к защите данных.
Компания «Индид», российский разработчик решений в области защиты айдентити, объявила о выпуске Indeed Identity Threat Detection and Response (ITDR) 2.0 — продукта для своевременного выявления и реагирования на угрозы, связанные с компрометацией учетных данных.
Обновлен ассортимент фронт-офисных решений «1С-Рарус» для предприятий общепита. «1С:Ресторан» и «1С:Фастфуд» выпущены в новой редакции 3.0, добавлены новые возможности и интеграции. Поставки переведены в формат электронных. Прекращены продажи базовой версии «1С:Фастфуд», пользователям предложены льготные условия перехода на версию ПРОФ.
