Уязвимостям высокого и критического уровней в защите своих информационных систем подвержено большинство российского бизнеса - к такому выводу пришли профессионалы «МегаФона», проанализировав результаты пентестов, проведённых сотовым оператором в 2025 году.
Как показало исследование, 60% компаний имеют уязвимости высокого и критического уровня. К первой категории относятся дефекты в системах аутентификации, позволяющие класть в основу защиту, малосильные места в веб-приложениях с риском утечки данных, а также проблемы в конфигурации сетевых сервисов, создающие дополнительные точки для атак. Изъяны критического уровня могут привести к захвату контроллеров домена с получением максимальных прав к корпоративной инфраструктуре, несанкционированному доступу к конфиденциальным данным.
В 36% случаев выявлены уязвимости среднего уровня, которые не дают полного контроля над системой, однако они в состоянии стать важным звеном в цепочке атаки и скомпрометировать более защищенные компоненты инфраструктуры. И только 4% компаний не имеют серьезных пробелов в защите. Пентесты проводились среди компаний различных отраслей и направленности: 60% - в области электроэнергетики, ИТ и промышленности, 20% - банковский сектор, по 8% предприятия недвижимости, рекламы и медиа, розничной торговли.
Пентест - безопасный способ оценки защищённости информационных систем организации маршрутом имитации действий преступников. В процессе тестирования профессионалы анализируют наружные и внутренние сети, проверяют веб-приложения и мобильные сервисы, устойчивость к атакам социальной инженерии, тестируют системы аутентификации. На выходах бизнес получает детальный отчёт с описанием отысканных уязвимостей и пошаговыми рекомендациями по их устранению и профилактике.
Из всех типов пентестов наиболее востребованным остается наружнее тестирование: который раз нынешнего года спрос на него вырос на 48% при сравнении с результатами за весь 2024 год. На втором месте - проекты по комплаенсу (анализ соответствия систем требованиям регуляторов, нормативным документам и отраслевым стандартам). Их количество увеличилось на 75% за тот же период. Наибольший прирост (более 100%) показала услуга по расследованию уже произошедших инцидентов, однако такие работы занимают всего 4% от общего объема.
Спрос на пентесты растет ежегодно образцово на 30%, однако сейчас рынок достиг рекордных показателей. По оценкам знатоков, к финалу 2025-го их количество увеличится в два с лишним раза при сравнении с минувшим годом, что объясняется ростом числа кибератак, в том числе с использованием новых угроз и методов, а также усилением регуляторных требований (введение новых стандартов и ужесточение ответственности).
«Результаты нашего исследования показывают, что только 32% протестированных компаний обладают высоким уровнем защиты от кибератак. Еще 23% имеют средний уровень защищённости, а оставшиеся 45% - невысокий. Проведение пентестов - лишь первый шаг к построению эффективной системы кибербезопасности. Анализируя результаты такого комплексного тестирования, компания может определить малосильные места в своей инфраструктуре и понять, как правильно выстраивать защиту», - отмечает директор по развитию корпоративного бизнеса «МегаФона» Наталья Талдыкина.
Фото: Unsplash