Небольшая аналитика сайтов из сферы здравоохранения

Мы провели сканирование 1600 сайтов из отрасли здравоохранения. Практически все исследуемые сайты были сайтами частных клиник. Аудит мы проводили по методу BlackBox - то есть мы не знали и не знаем конфигурацию сервера, аппаратное и программное обеспечение, а следовательно, не получаем доступа к конфиденциальным данным.

И вот какие данные мы получили:

Обследуемые сайты содержали 22,4 тысячи уязвимостей. Обращаем ваше внимание, что речь идёт не об уникальных уязвимостях, а о найденных ошибках вообще.

На следующем графике изображены наиболее часто встречающиеся ошибки. В этот список попали ошибки, встречающиеся на более чем 300 сайтах.

Наиболее распространённые ошибки

Из данного графика сразу видно, что сисадмины не беспокоятся об обновлении программного обеспечения, не держат его в актуальной версии. На многих исследуемых серверах обнаружены версии PHP 5.3, 5.2, хотя актуальная версия - 5.6. Несерьезное отношение к обновлению ПО - очень распространённая проблема. Новые версии могут не содержать принципиально новых фич, но в них устранены уязвимости, обнаруженные в старых версиях, которые уже известны злоумышленникам, которые они уже умеют использовать. Вот почему важно держать ПО в актуальных версиях.

В свою очередь, видно, что многие не уделяют должного внимания настройкам веб-серверов. Например, на определённых обследуемых сайтах обнаружены файлы резервного копирования или присутствовала возможность просмотреть содержание некоторых веб директорий, не предназначенные для просмотра посетителем сайта. Это чревато тем, что злоумышленник может достать из них ключи или дамп базы данных, в случае если они находятся в файлах бэкапа.

Всё это в комплексе приводит к плачевным результатам.

Если мы отфильтруем все эти ошибки по уровню критичности (мы используем шкалу CVSS), то есть откинем все ошибки ниже Medium уровня и оставим только ошибки уровней High и Critical соответственно, то получим следующую картину.

Основные критические ошибки

Как мы видим все эти ошибки связаны с использованием неактуальной версией PHP. Уязвимости в неактуальных версиях PHP позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Последние данные, которыми бы хотелось поделиться - распределение обнаруженных ошибок по уровню критичности.

Уровень критичности ошибок

Как видно, у трети исследуемых сайтов обнаружены уязвимости критичного уровня. Это в очередной раз доказывает гипотезу о том, что большинство российских сайтов не уделяют вопросу информационной безопасности должного внимания.

Спасибо за внимание, друзья. Пишите в комментах чего вам не хватило в данном обзоре, и мы обязательно это учтём в следующих постах.