|
Календарь мероприятий
сентябрь  2025
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
показать все 
Новости партнеров
ИИзумительное рядом: эксперт Полунин о новой реальности
Читать далее
«Инфосистемы Джет» представила масштабное исследование о состоянии ИТ-рынка России
Читать далее
Рексофт: Внедрение генеративного ИИ при правильном подходе может принести российским банкам до 1,9 трлн руб. в перспективе 2-5 лет
Читать далее
Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ, BAS-тестирование и новые вызовы
Читать далее
В России запущена Цифровая платформа для испытаний оборудования в нефтегазовой отрасли
Читать далее
показать все
Статьи
DevOps как методология в 2025 году — что уже устарело, что становится must-have, какие инструменты и подходы реально работают в продакшене
Читать далее
Как опрос про ИИ-ботов спровоцировал цифровой раскол?
Читать далее
Светлана Ткаченко, УЦ РДТЕХ: «Выбор зарубежных СУБД объясним инертностью мышления»
Читать далее
Каждому покупателю – по ИИ-агенту
Читать далее
Точность до метра и сантиметра: как применяют технологии позиционирования
Читать далее
Что сегодня в тренде?
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась
Читать далее
Сладкая жизнь
Читать далее
12 бизнес-концепций, которыми должны овладеть ИТ-руководители
Читать далее
показать все
|
Половина веб-атак на госсектор – это попытки подбора пароля к учетным записям пользователей
Главная / Новости партнеров / Половина веб-атак на госсектор – это попытки подбора пароля к учетным записям пользователей
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Подбор пароля (брутфорс) стал основной веб-угрозой для госорганизаций в 1-ом полугодии. С попытками взлома учетных записей пользователей связаны почти 50% веб-атак на госсектор, зафиксированных с января по июнь 2025 года компанией Вебмониторэкс.
Госсектор — это единственная отрасль, где брутфорс стабильно находится на 1 месте в перечне атак на веб. При этом в абсолютном большинстве случаев речь идет именно о сredential stuffing, когда злоумышленники используют не просто словарные пароли, а ранее утекшие комбинации логинов и паролей от аккаунтов на разных платформах.
Всего с января по июнь было выявлено и заблокировано почти 600 млн атак на веб-ресурсы российских организаций, что значительно превышает показатели прошлого года. В среднем на одну госорганизацию в отчетном периоде было совершено около 1 млн веб-атак.
Анализ проведен на основе большого массива агрегированных данных о разных типах атак на клиентов Вебмониторэкс, безопасность которых обеспечивается одноименной платформой защиты веб-приложений, микросервисов и API. Для отчета была проанализирована информация о более чем 170 крупных организациях из различных отраслей, включая госсектор, ИТ, ритейл, финансы, здравоохранение, промышленность, телеком и др.
При атаке методом сredential stuffing злоумышленник пытается подобрать пароль к учетной записи пользователя путем перебора ранее утекших комбинаций и похожих на них. Такие незаконные действия могут проводиться вручную или с использованием специализированного программного обеспечения (ботов), а также осуществляться с тысяч IP-адресов.
«Учетные записи на различных государственных порталах есть практически у каждого гражданина, при этом только небольшой процент пользователей задумывается о безопасности своих аккаунтов. Большинство же используют одинаковые или похожие учетные данные на разных ресурсах, а также редко их обновляют. Это увеличивает риски на фоне многочисленных утечек данных в последние годы. Взломав аккаунт пользователя, злоумышленник может не только получить всю информацию о человеке, но и совершать какие-то нелегитимные действия, например, взять кредит или провести сделку с недвижимостью, если на это не установлен самозапрет», - комментирует генеральный директор Вебмониторэкс Анастасия Афонина.
Эксперт также напоминает, что целью киберпреступников могут быть не только личные кабинеты граждан, но и учетные данные сотрудников ведомств. В этом случае может быть скомпрометирована гостайна, секретная и стратегическая информация. А если злоумышленники подберут логин и пароль к учетной записи администратора сети, то последствия атаки могут быть еще более значительными.
Чтобы снизить вероятность успешного брутфорса организациям стоит использовать двухфакторую аутентификацию и решение класса CAPTCHA, устанавливать ограничения на количество попыток входа, ввести строгую парольную политику (длина пароля, используемые символы и т.п.) и обязательное регулярное обновление паролей.
Помимо организационных мер помогут специализированные ИБ-решения для защиты онлайн-ресурсов. Например, WAF – межсетевой экран уровня приложений, который может блокировать многочисленные попытки перебора паролей, совершенные с пула IP-адресов, и заблокировать их до наступления негативных последствий. WAF также может работать с репутационными базами IP, использовать серые списки адресов (VPN, дата-центры, ТОR) и обеспечить защиту от ботов.
Простым пользователям же рекомендуется использовать парольные менеджеры (как на десктопе, так и на мобильном устройстве), чтобы не бояться забыть сложную комбинацию. Также не стоит хранить рабочие пароли на персональных устройствах и периодически обновлять свои личные учетные данные.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover_small.jpg)
_cover_small.jpg)
_cover_.jpg)
_cover_.jpg)
_small.jpg)
