Хорошо выраженная мысль звучит умно на всех языках.Драйден
Positive Technologies: какие уязвимости будут главными угрозами в 2023 году
18.01.2023 17:23
Пресс-релиз компании Positive Technologies
В рамках пресс-конференции, посвящённой подведению итогов 2022 года, эксперты Positive Technologies представили топ уязвимостей, ставших наиболее популярными среди злоумышленников в прошлом году, и рассказали, какие уязвимости будут представлять наибольшую ценность среди злоумышленников в 2023 году.
Отрицательный рекорд
В 2022 году установлен отрицательный рекорд: по данным NIST, было верифицировано более 25 тысяч новых уязвимостей, обнаруженных исследователями безопасности. Уязвимостям были присвоены идентификаторы и уровни опасности согласно международному стандарту CVE. Рост числа стартапов и выпускаемых ими программ, а также несоблюдение принципов безопасной разработки могут привести к тому, что в 2023 году будет установлен новый антирекорд.
«Почти 70 уязвимостей в день — это много. В России этот показатель усугубляется еще и тем, что иностранные IT-компании ушли из страны и прекратили поставлять новые версии и обновления своего ПО, оставив отечественные предприятия беззащитными, что, в свою очередь, поднимает вопрос о выстраивании результативной стратегии управления уязвимостями как в проприетарном ПО, так и в используемых компонентах с открытым исходным кодом, причем не только в веб-приложениях, но и в программах собственной разработки», — комментирует Вадим Соловьев, руководитель группы анализа угроз ИБ, Positive Technologies.
К числу популярных уязвимостей в 2022 году, о которых много говорили в кругах специалистов по ИБ, относились:
Отдельного внимания заслуживает серьезная уязвимость CVE-2022-30190, известная как Follina, в Microsoft Windows Support Diagnostic Tool (MSDT). Она может быть проэксплуатирована при помощи вредоносного офисного документа и позволяет злоумышленникам выполнить произвольный код.
По данным PT Expert Security Center, в числе уязвимостей, которые наиболее активно использовались для проникновения в инфраструктуру в 2022 году, были бреши в серверах Microsoft Exchange, Log4Shell, ProxyNotShell и ProxyShell.
Прогнозы на 2023 год
В 2023 году эксперты Positive Technologies прогнозируют, что уязвимости Log4Shell, Spring4Shell и подобные им еще долго будут оставаться угрозой, так как системы, использующие уязвимое ПО, широко распространены. Кроме того, в этом году мир вновь увидит атаки на Microsoft Exchange как через новые уязвимости, так и через старые, которые пользователи все еще не устранили с помощью обновлений безопасности. «Оперативно устранять уязвимости поможет построение процесса vulnerability management. Необходима регулярная проверка покрытия патч-менеджментом IT-инфраструктуры, а также применение проактивного подхода в устранении уязвимостей — когда IT-подразделение регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. Специалисты по ИБ, в свою очередь, проверяют соблюдение договоренностей и контролируют процесс устранения уязвимостей. Также не стоит забывать про устранение трендовых уязвимостей, которые, как правило, выбиваются из планового процесса патч-менеджмента, но именно они представляют высокую угрозу для компаний», — говорит Антон Исаев, ведущий специалист отдела развития и продвижения инженерно-технической экспертизы, Positive Technologies.
Наибольшую ценность для злоумышленников будут представлять уязвимости в браузерах, поскольку через них можно проводить массовые атаки на посетителей конкретных ресурсов, и уязвимости в популярных фреймворках, которые активно используются, в том числе в инфраструктуре крупных компаний. Отдельно стоит отметить окончание поддержки Windows 8.1 с 10 января 2023 года. Для этой операционной системы перестанут приходить обновления безопасности, поэтому в случае выявления уязвимостей в базовых механизмах ОС семейства Windows пользователи старых версий ОС (в том числе Windows 8.1) окажутся незащищены.
Неизвестные разработчикам уязвимости
Проблемы, связанные с уходом зарубежных производителей ПО, отсутствием обновлений безопасности и нарушением привычных цепочек поставок ПО, продолжат оказывать влияние на информационную безопасность компаний в 2023 году. Разрыв связей между разработчиками и исследователями безопасности из разных стран приведет к тому, что в ПО будет значительно больше уязвимостей, о которых не знают разработчики, но которые могут быть выявлены злоумышленниками. Необходимость выстраивать новые цепочки поставок ПО и интегрировать в инфраструктуру новые решения, безопасность которых может быть под вопросом, также будет оказывать негативный эффект на уровень защищенности организаций.
«В условиях отсутствия своевременного обновления ПО особенно важно выстраивать полноценный процесс управления уязвимостями. Именно он позволит своевременно определять критически опасные уязвимости, предпринимать компенсирующие меры и грамотно выстраивать взаимодействие между IT-подразделениями и специалистами по ИБ для минимизации рисков и защиты инфраструктуры», — комментирует Анна Цыбина, менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies.
Последний вышедший номер
Читайте в номере:
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2026 гг.
Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.
Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.
В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.
Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.