Citadelo zverejnilo Ethical Hacking Report 2023. U klientov objavili najviac zraniteľností v histórií

Spoločnosť Citadelo, popredný slovenský poskytovateľ služieb v oblasti etického hackingu a penetračného testovania, zverejnila Ethical Hacking Report 2023. V minulom roku odhalila celkom 2 795 zraniteľností rôznej závažnosti v 384 projektoch realizovaných pre klientov naprieč rôznymi priemyslovými odvetviami.

Etickí hackeri priemerne odhalili v každom projekte viac ako 7 zraniteľností, ktoré sa delia do štyroch kategórií podľa miery závažnosti. Kritických, teda tých s najvyššou mierou rizika zneužitia, objavili etickí hackeri celkovo 192, čo je najviac od vzniku spoločnosti. „Zraniteľnosti s vysokým a kritickým dopadom predstavujú priame a akútne riziko a musia byť neodkladne odstránené. Zdrvujúci dopad na chod systémov či celej organizácie nemá potenciálne iba jedna kritická zraniteľnosť, ale aj viacero tých menej závažných, ktoré môže útočník zreťaziť do deštruktívnej kombinácie, ktorú zneužije. V extrémnom prípade až ku kompletnému prevzatiu kontroly nad cieľovým systémom spoločnosti,“ hovorí Tomáš Zaťko, CEO Citadelo.

Typy nájdených zraniteľností môžu zvyčajne viesť napríklad k Remote Code Execution – vzdialenému spusteniu škodlivého kódu, eskalácii privilégií alebo dosiahnutiu hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem, získaniu role doménového administrátora, s ktorého oprávneniami preberá útočník kontrolu nad celou sieťou.

Pre weby predstavuje vysoké riziko zraniteľnosť „SQL injection“. Útočník v tomto prípade využíva bezpečnostné nedostatky k preniknutiu do databázovej vrstvy webovej aplikácie prostredníctvom vloženia vlastného SQL príkazu. SQL je programovací jazyk, ktorý umožňuje pracovať s dátami v relačných databázach, ktoré často obsahujú citlivé informácie, akými sú prístupové údaje užívateľov.

Najčastejšie dochádza k takémuto útoku prostredníctvom neošetrených vstupných formulárov. Útočník môže do takto nezabezpečeného prihlasovacieho formulára v internetovom obchode vložiť SQL príkaz, ktorý mu umožní voľne zapisovať do databázy. Inými slovami, útočník má možnosť manipulovať s dátami, ktoré sú v databáze uložené, čo môže vážne ovplyvniť chod a prevádzku aplikácie, jej serveru a zaobchádzanie s citlivými údajmi užívateľov.

Experti z Citadelo sa zamerali tiež na preverovanie ľudského faktoru, na ktorý najčastejšie mieria vektory útoku hackerov využívajúce metódy sociálneho inžinierstva, ako vishing, phishing a smishing. Tie sú vysoko rizikové ako pre jednotlivcov, taktiež pre firmy v ktorých pracujú. Efektivitu týchto útokov dokumentujú aj interné nezverejnené štatistiky spoločnosti. Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím týchto techník, je až 40 %. Znamená to, že takmer každá druhá obeť v novo testovaných spoločnostiach podľahla nástrahám etických hackerov. „Preto klientom poskytujeme pravidelné a dôkladné bezpečnostné školenia, na ktorých im okrem samotnej teórie ukazujeme praktické ukážky rôznych hackerských techník, aby sa dokázali brániť čo najlepšie,“ opisuje dôležitosť prevencie Tomáš Zaťko.

Veľký počet nájdených zraniteľností poukazuje na nevyhnutnosť komplexného penetračného testovania a posudzovania bezpečnosti. Predovšetkým v dnešnej dobe, kedy sa početnosť a sofistikovanosť kybernetických útokov neustále zvyšuje a stále viac mieria na komerčný priemyselný sektor, telekomunikácie a dopravu. Potvrdzujú to aj nároky  novej európskej legislatívy DORA a NIS2. „Tieto nariadenia zásadným spôsobom rozširujú povinnosti firiem, ktoré budú musieť bezodkladne riešiť kybernetickú bezpečnosť. Penetračné testy sú účinným nástrojom, ktorý pomôže tieto nové, zákonom stanovené normy dodržať a zároveň účinne chrániť svojich klientov, zamestnancov a infraštruktúru,“ dodáva Tomáš Zaťko.

Pre viac informácií o Ethical Hacking Reporte 2023 a službách Citadelo navštívte tento LINK.

Viete ako premyšľa útočník ? Pre nás je to základné východisko. Citadelo založila skupina etických hackerov v roku 2006. Chceli sme si splniť sen o ideálnej práci a zároveň prispieť k vyššej dôveryhodnoti  a bezpečnosti internetu, tým čo vieme najlepšie - odhaľovať zraniteľné miesta IT infraštruktúr simulovanými útokmi. Testujeme bezpečnosť cloudov a aplikácií, aby sme mohli zvýšiť celkovú úroveň informačnej bezpečnosti v organizáciach a spoločnostiach všetkých druhov a veľkostí.

Dnes  medzinárodný team Citadelo tvorí 30 expertov, ktorí pracujú pre rad firiem aj z rebríčku Fortune 500. Citadelo je líder trhu v Čechách aj na Slovenku, má kancelárie v Prahe, Bratislave a najnovšie aj vo švajčiarskom Zugu.