Топ 5 критических уязвимостей банковских приложений

"Солар" оценил текущий уровень защищенности кода банковских веб-приложений. В 2024 году в рамках исследования веб-приложений более 100 финансовых организаций были собраны данные о наиболее распространенных уязвимостях и способах их эксплуатации.
В финансовых приложениях, где обрабатываются конфиденциальные данные и транзакции пользователей, безопасность кода имеет важное значение.
Низкий уровень защищенности исследователи отметили в 20% приложений, средний - в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязвимость.Одной из самых распространенных уязвимостей в финансовых приложениях является недостаток контроля доступа (78%).

• Корректно разграниченный доступ особенно важен для организаций сектора. Отсутствие контроля за привилегиями сотрудников может привести к тому, что как внутренний, так и внешний нарушитель получает нелегитимный доступ к самому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонамеренных целях. В качестве мер защиты в данном случае специалисты "Солара" рекомендуют использовать реализацию принципа наименьших привилегий, а также мониторинг изменений прав доступа.
• Межсайтовый скриптинг (XSS) по-прежнему остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распространенный пример - кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, банкам необходимо более тщательно валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP).
• Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов - третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику быстро подобрать значения хэш-функции или получить доступ к данным.
• 36% уязвимостей пришлись на недостатки логирования и мониторинга. Отсутствие или недостаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе.
  То есть в ИТ-системе есть запись о совершении самой транзакции, однако возникает недостаток технологической информации о процессе, что также может затруднять расследование киберинцидентов. Внедрение централизованного логирования, мониторинг подозрительной активности, использование SIEM-систем помогают финансовым организациям избежать подобных рисков.
  Избыточное логирование, в свою очередь, так же может привести к инцидентам ИБ. Например, сохранение функций полного логирования (обычно используется на этапе разработки и тестирования) в промышленной эксплуатации может привести к небезопасному хранению данных пользователя вне информационных систем.
  Сейчас большинство зрелых финансовых организаций отказываются от монолитных информационных систем в пользу микросервисной архитектуры. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недостаточный контроль API, включая сохранение скрытых точек входа может привести к утечке данных или несанкционированному доступу и, по данным исследования "Солара", входит в топ-5 уязвимостей (25%). Такие риски позволяет нивелировать использование OAuth, JWT, своевременная проверка прав доступа.
  Помимо вышеперечисленных уязвимостей в топ-10 самых распространенных также вошли:
• небезопасная аутентификация и управление сессиями;
• небезопасная конфигурация;
• недостатки в обработке ошибок и шифровании;
• уязвимости в сторонних библиотеках;
• а также перехват сессий.

По данным центра противодействия кибератакам Solar JSOC, в 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. Одна из причин - резкий рост атак по типу подбора логина к имеющемуся словарному паролю.
"По данным "Солара", объем утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, адреса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию.
По объему утечек финансовая отрасль стала наиболее уязвимой среди других, опережая все сектора экономики, в том числе и госсектор. Мы наблюдаем постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений. Интерес к таким инструментам со стороны банков год к году возрастает, что подтверждают результаты наших исследований. В основном это связано со стремлением финансовых организаций соответствовать требованиям регуляторов и совершенствованием законодательства в части разработки ПО. Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей приложений", - говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
Источник: ПЛАС-журнал: https://plusworld.ru/articles/62660/

27.02.2025