Пресс-релизы //

«Солар» назвал топ 5 критических уязвимостей банковских приложений

В финансовых приложениях, где обрабатываются конфиденциальные данные и транзакции пользователей, безопасность кода имеет важное значение. Эксперты ГК «Солар» проана-лизировали миллионы строк кода с помощью статического, динамического анализа и ана-лиза сторонних компонентов и оценили степень критичности обнаруженных уязвимостей.
Низкий уровень защищенности исследователи отметили в 20% приложений, средний – в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязви-мость.
Одной из самых распространенных уязвимостей в финансовых приложениях является не-достаток контроля доступа (78%). Корректно разграниченный доступ особенно важен для организаций сектора. Отсутствие контроля за привилегиями сотрудников может привести к тому, что как внутренний, так и внешний нарушитель получает нелегитимный доступ к са-мому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонаме-ренных целях. В качестве мер защиты в данном случае специалисты «Солара» рекомен-дуют использовать реализацию принципа наименьших привилегий, а также мониторинг из-менений прав доступа.
Межсайтовый скриптинг (XSS) по-прежнему остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распро-страненный пример — кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, банкам необходимо более тщательно валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP).
Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов — третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику быстро подобрать значения хэш-функции или получить доступ к данным.
36% уязвимостей пришлись на недостатки логирования и мониторинга. Отсутствие или не-достаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе.
То есть в ИТ-системе есть запись о совершении самой транзакции, однако возникает недо-статок технологической информации о процессе, что также может затруднять расследова-ние киберинцидентов. Внедрение централизованного логирования, мониторинг подозри-тельной активности, использование SIEM-систем помогают финансовым организациям из-бежать подобных рисков.
Избыточное логирование, в свою очередь, так же может привести к инцидентам ИБ. Напри-мер, сохранение функций полного логирования (обычно используется на этапе разработки и тестирования) в промышленной эксплуатации может привести к небезопасному хранению данных пользователя вне информационных систем.
Сейчас большинство зрелых финансовых организаций отказываются от монолитных ин-формационных систем в пользу микросервисной архитектуры. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недо-статочный контроль API, включая сохранение скрытых точек входа может привести к утеч-ке данных или несанкционированному доступу и, по данным исследования «Солара», вхо-дит в топ-5 уязвимостей (25%). Такие риски позволяет нивелировать использование OAuth, JWT, своевременная проверка прав доступа.
Помимо вышеперечисленных уязвимостей в топ-10 самых распространенных также вошли: небезопасная аутентификация и управление сессиями; небезопасная конфигурация; недо-статки в обработке ошибок и шифровании; уязвимости в сторонних библиотеках; а также перехват сессий.
По данным центра противодействия кибератакам Solar JSOC, в 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. Одна из причин — резкий рост атак по типу подбора логина к имеющемуся словарному паролю.
«По данным “Солара”, объем утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, ад-реса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию. По объему утечек финансовая отрасль стала наиболее уязвимой среди дру-гих, опережая все сектора экономики, в том числе и госсектор. Мы наблюдаем постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений. Интерес к таким инструментам со стороны банков год к году возрастает, что подтверждают результаты наших исследований. В основном это свя-зано со стремлением финансовых организаций соответствовать требованиям регуляторов и совершенствованием законодательства в части разработки ПО. Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей приложений», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
Solar appScreener — комплексное решение для контроля безопасности приложений, соче-тающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может ис-пользоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки.
Анализ защищенности мобильных приложений для операционных систем Android и iOS проводился аналитиками «Солара» посредством статического анализа без функционала декомпиляции кода и опросов заказчиков.

Контактное лицо: Виктория Меркулова
Компания: ГК «Солар»
Добавлен: 19:30, 02.03.2025 Количество просмотров: 153
Страна: Россия

Как изменился рынок метавселенных, АРМЕТ, 20:53, 21.05.2026, Россия62

20 мая 2026 года на площадке кластера видеоигр и анимации «Сколково» прошло закрытое Общее собрание Ассоциации участников рынка метавселенных «АРМЕТ». Мероприятие объединило лидеров отрасли, технологических партнёров, экспертов и представителей институтов развития для выработки стратегических решений в сфере цифровых экосистем и иммерсивных технологий.

IT_ONE и Центральный университет договорились о совместной подготовке ИТ‑специалистов нового формата, IT_One, 20:51, 21.05.2026, Россия51
В рамках конференции «Цифровая индустрия промышленной России» (ЦИПР) IT_ONE и Центральный университет подписали соглашение о стратегическом партнерстве в области образования и подготовки ИТ‑специалистов.

Axiom JDK и Nexign подписали меморандум о сотрудничестве, Nexign, 20:51, 21.05.2026, Россия55

Разработчик отечественной платформы Java Axiom JDK (АО «Аксиом») и разработчик высокотехнологичных решений для различных отраслей экономики Nexign (АО «Нэксайн») заключили соглашение, направленное на развитие отечественных ИТ-решений и укрепление технологического суверенитета страны.

CommuniGate Pro и eXpress объявили о стратегическом партнерстве на ЦИПР-2026, CommuniGate Pro, 20:51, 21.05.2026, Россия50

Разработчик платформы унифицированных коммуникаций CommuniGate Pro и российский разработчик защищенного мессенджера для бизнеса eXpress официально объявили о заключении стратегического партнерства в рамках XI конференции «Цифровая индустрия промышленной России» («ЦИПР»), которая проходит с 18 по 21 мая 2026 года в Нижнем Новгороде.

«ВестЛинк» и MWS AI запускают совместную разработку ИИ-решений для задач управления на основе данных, MWS AI, 20:51, 21.05.2026, Россия56

ГК «ВестЛинк», разработчик платформы «Цифровой управленец Linkage», и «Центр искусственного интеллекта МВС» (MWS AI) заключили соглашение о сотрудничестве. Подписание состоялось 19 мая на конференции «Цифровая индустрия промышленной России» (ЦИПР) в Нижнем Новгороде.

АНО «НЦК ИСУ» и РЕД СОФТ объединят усилия для развития российских ERP-решений, НЦК ИСУ, 20:50, 21.05.2026, Россия54
РЕД СОФТ и АНО «НЦК ИСУ» подписали соглашение о сотрудничестве на ЦИПР 2026.

БФТ-Холдинг и Центральный университет подписали на ЦИПР-2026 соглашение о сотрудничестве, БФТ-Холдинг, 20:50, 21.05.2026, Россия51
БФТ-Холдинг и Центральный университет заключили соглашение о партнерстве. Цель стратегического сотрудничества – объединение усилий для подготовки ИТ-специалистов и комплексного развития молодых цифровых кадров.

Минцифра Оренбуржья и «Астра Консалтинг» договорились о сотрудничестве в сфере цифрового развития, "Группа Астра", 20:44, 21.05.2026, Россия54

На конференции ЦИПР в Нижнем Новгороде Минцифра Оренбургской области и компания «Астра Консалтинг» (входит в «Группу Астра») подписали соглашение о сотрудничестве в сфере цифрового развития.

«Гравитон» представил интерактивную панель на базе процессора «Байкал» для госсектора и образования, «Гравитон», 20:43, 21.05.2026, Россия54

Разработчик и производитель российской вычислительной вычислительной техники «Гравитон» выпустил интерактивную сенсорную панель нового поколения. Устройство построено на базе отечественного процессора «Байкал» и ориентировано на использование в школах, вузах, государственных ведомствах, а также на объектах критической информационной инфраструктуры (КИИ).

Ошибки в питании, из-за которых “правильный” рацион не дает результата., Нутрициолог, 20:40, 21.05.2026, Россия54

2 июня, в День здорового питания, нутрициолог Надежда Шутенко рассказала, почему даже культовое «ПП» не всегда улучшает самочувствие. Проблема часто не в отсутствии силы воли, а в том, что здоровое питание люди воспринимают как набор запретов, а не как систему восстановления организма.

«Кит-системс» повысил эффективность коммуникаций руководства «Торговый дом ТМХ», Кит-системс, 20:38, 21.05.2026, Россия39

Системный интегратор «Кит-системс» внедрил систему видеоконференцсвязи в АО «Торговый дом ТМХ» - закупочном центре компаний, входящих в группу АО «ТМХ».

ГК «Юзтех» и MWS Cloud подписали меморандум о сотрудничестве в области искусственного интеллекта и цифровых инноваций, ГК "Юзтех", 20:37, 21.05.2026, Россия41

ГК «Юзтех» и MWS Cloud объявили о начале стратегического партнерства на главном событии по цифровизации – ЦИПР. Стороны подписали меморандум о сотрудничестве в области искусственного интеллекта и цифровых инноваций. В рамках соглашения компании намерены совместно разрабатывать цифровые решения, направленные на оптимизацию технологических и бизнес‑процессов российских компаний и предприятий.

МТУСИ и «Группа Астра» приступили к совместной практико-ориентированной подготовке ИТ-кадров, "Группа Астра", 20:37, 21.05.2026, Россия39

Партнерство МТУСИ с «Группой Астра» — ведущим игроком на российском рынке инфраструктурного программного обеспечения — предоставит молодым специалистам дополнительные возможности для развития своих ИТ-компетенций. Используя полученные навыки в дальнейшем, они помогут отрасли более эффективно решать задачи повышения производительности на базе отечественных программных продуктов.

ITKey и ГК «Аквариус» создадут отечественный ПАК виртуализации для корпоративной ИТ-инфраструктуры, ITKey, 20:36, 21.05.2026, Россия41

Компания ITKey, российский разработчик и поставщик решений для построения корпоративной облачной инфраструктуры, и крупнейший российский разработчик и производитель компьютерной техники и ИТ-решений компания «Аквариус» подписали соглашение о стратегическом сотрудничестве на конференции ЦИПР-2026.

«Солар» и «Группа Астра» расширяют сотрудничество и упрощают доставку ИБ-решений через Astra Store, "Группа Астра", 20:35, 21.05.2026, Россия36

Меморандум, подписанный на конференции ЦИПР 2026, открывает возможности для дистрибуции решений «Солара» в отечественном магазине приложений Astra Store.