По данным NCC, число уязвимостей в банковских системах безопасности за последние годы выросло более чем в четыре раза. Причем треть этих рисков удалось устранить, обновив программное обеспечение, поддерживающее клиентские сервисы.

Как сообщила британская компания NCC Group, один из лидеров в области аналитики безопасности, число уязвимостей в финансовом секторе с 2013 по 2016 год выросло более чем в четыре раза (на 319%). Около трети (24,7%) проблем со средней и высокой степенью риска связаны с пользовательскими веб-приложениями — а ведь, согласно другому исследованию, именно по этому вектору почти половина (45%) банков ждет атаки в первую очередь.

Что характерно, почти все в веб-сервисах бреши, зафиксированные NCC в веб-сервисах, удалось прикрыть обновлением соответствующей платформы или инструментов до последней имеющейся версии; во многих случаях достаточно было обновить PHP. В других случаях помогло обновление ASP.net и Apache Tomcat. Если экстраполировать данные NCC на весь финансовый сектор, можно сделать вывод, что многие проблемы здесь связаны не столько с объективными факторами, сколько с недостаточным пониманием существующих рисков.

Впрочем, независимые пентестеры подошли к результатам NCC со скепсисом: во-первых, отмечают они, британцы анализировали только системы своих клиентов (всего 168 организаций). Во-вторых, количество финансовых сервисов очень сильно выросло — неудивительно, что увеличилось и число проблем. В-третьих, аналитика ИБ не стоит на месте — сегодня сервисы по выявлению уязвимостей работают гораздо эффективнее, чем в 2013 году. Этим и может объясняться тот факт, что среднее количество брешей в системе безопасности на одну организацию под защитой NCC выросло с 217 до 910.

Дэвид Морган (David Morgan), исполнительный директор NCC Group, согласился с доводами сторонних аналитиков, однако добавил: «Рост числа уязвимостей в платформах веб-сервисов так велик, что его никак нельзя объяснить только этими факторами [развитием онлайн-услуг и эволюцией методов сканирования]». Он также заметил, что количество уязвимостей будет расти и дальше, поскольку большинство банков сегодня развивает в первую очередь клиентоориентированные сервисы.

Масштаб проблемы помогают оценить следующие цифры: по данным «Лаборатории Касперского», в 2016 году ущерб, связанный со взломом POS-терминалов и пользовательских мобильных устройств, составил 3,7 млн долларов США. Недавняя история с группировкой Metel, атакующей колл-центры и сервисы обслуживания клиентов, прекрасно демонстрирует, как несовершенство пользовательских интерфейсов может стоить банкам нескольких миллионов за несколько часов.

Однако стоит заметить, что далеко не все уязвимости — результат небрежности или сознательного приоритета скорости развития над безопасностью. Очень часто банки вынуждены работать с устаревшими платформами, чтобы иметь возможность поддерживать ходовые приложения или сотрудничать с вендорами, которые не могут позволить себе обновить оборудование. В этих случаях может помочь надежная система многоуровневой защиты интернет-транзакций, работающая вне зависимости от используемых устройств и приложений.

Категории: Аналитика, Главное, Уязвимости