Новое исследование компании Reflectiz под названием «Состояние веб-уязвимости 2025» выявило тревожную тенденцию: многие организации, сами того не подозревая, подвергают свои веб-сайты значительным рискам. Причиной тому является активное использование сторонних приложений и технологий отслеживания, что приводит к утечкам конфиденциальных данных пользователей. Исследование охватило 100 наиболее посещаемых веб-сайтов в каждой из исследуемых отраслей, демонстрируя масштаб проблемы.
Одним из главных выводов исследования стало то, что 45% сторонних приложений имеют доступ к личной информации пользователей без надлежащего на то разрешения. При этом, не всем приложениям необходимы такие обширные права, а предоставление доступа «на всякий случай» создает ненужную уязвимость. Рекомендация здесь однозначна: доступ к данным должен предоставляться только по принципу «необходимо знать», ограничивая потенциальные точки входа для злоумышленников.
Уровень «веб-уязвимости», по определению Gartner, включает в себя риски, возникающие из-за сторонних приложений, сетей доставки контента (CDN) и инструментов с открытым исходным кодом. Каждое такое подключение, по сути, расширяет зону атаки. Интересно, что менее популярные приложения рассматриваются как более опасные, поскольку их безопасность часто недостаточно контролируется и они могут быть легче скомпрометированы. Так, сайты индустрии отдыха и гостеприимства, в среднем, используют чуть более двух таких рискованных приложений, в то время как онлайн-магазины и сайты развлекательной индустрии – около одного.
Не меньшую угрозу представляют собой и трекеры, такие как Facebook (признан в РФ экстремистским) Pixel и TikTok Pixel. Неправильная их настройка может привести к сбору личной информации пользователей. При этом, количество установленных трекеров – не единственный показатель риска; гораздо важнее контекст их использования. Например, веб-сайты издательской индустрии используют в среднем около 12 трекеров, в то время как сайты сферы здравоохранения – чуть менее 6. Наиболее опасным считается отслеживание данных на страницах оплаты, что подчеркивает необходимость обучения маркетингового персонала издательских компаний.
Анализ показал существенные различия в уровнях риска для разных отраслей. Сайты развлекательной индустрии подвержены почти вдвое большему количеству вредоносной активности, чем сайты финансовой отрасли. В то же время, сайты образовательной индустрии сталкиваются с повышенным риском из-за чрезмерного использования общедоступных сетей доставки контента.
Вывод однозначен: универсальный подход к веб-безопасности не работает. Каждая отрасль имеет свои специфические риски, и для их снижения требуется индивидуальная стратегия. Для оценки и минимизации рисков компания Reflectiz разработала инструмент «Рейтинг уязвимости» (Exposure Rating). Эта система анализирует факторы риска в контексте их применения и присваивает веб-сайту оценку от A до F, а также предлагает рекомендации по устранению выявленных уязвимостей.
Например, исследование показывает, что в 53% случаев уязвимость в розничной торговле возникает из-за чрезмерного использования инструментов отслеживания. Это подчеркивает важность тщательного анализа и контроля за тем, какие трекеры, как и где используются на веб-сайте. Установка на страницы оплаты требует особенно пристального внимания.
В свете обнаруженных уязвимостей, компаниям рекомендуется ограничить доступ сторонних приложений к конфиденциальной информации пользователей, проверять безопасность менее популярных приложений и тщательно контролировать использование технологий отслеживания. Кроме того, необходимо проводить обучение персонала, особенно в маркетинговом отделе, правилам безопасной работы с веб-сайтом. Использование «Рейтинга уязвимости» от Reflectiz может стать первым шагом на пути к более эффективной защите веб-ресурсов.
В заключение, компании должны понимать, что риски веб-безопасности не всегда очевидны и могут скрываться в, казалось бы, безобидных сторонних приложениях и трекерах. Проактивный подход, непрерывный мониторинг и постоянное совершенствование мер защиты – вот ключ к обеспечению безопасности пользовательских данных. Для получения более подробной информации рекомендуется ознакомиться с полным отчетом исследования.
Изображение носит иллюстративный характер
Одним из главных выводов исследования стало то, что 45% сторонних приложений имеют доступ к личной информации пользователей без надлежащего на то разрешения. При этом, не всем приложениям необходимы такие обширные права, а предоставление доступа «на всякий случай» создает ненужную уязвимость. Рекомендация здесь однозначна: доступ к данным должен предоставляться только по принципу «необходимо знать», ограничивая потенциальные точки входа для злоумышленников.
Уровень «веб-уязвимости», по определению Gartner, включает в себя риски, возникающие из-за сторонних приложений, сетей доставки контента (CDN) и инструментов с открытым исходным кодом. Каждое такое подключение, по сути, расширяет зону атаки. Интересно, что менее популярные приложения рассматриваются как более опасные, поскольку их безопасность часто недостаточно контролируется и они могут быть легче скомпрометированы. Так, сайты индустрии отдыха и гостеприимства, в среднем, используют чуть более двух таких рискованных приложений, в то время как онлайн-магазины и сайты развлекательной индустрии – около одного.
Не меньшую угрозу представляют собой и трекеры, такие как Facebook (признан в РФ экстремистским) Pixel и TikTok Pixel. Неправильная их настройка может привести к сбору личной информации пользователей. При этом, количество установленных трекеров – не единственный показатель риска; гораздо важнее контекст их использования. Например, веб-сайты издательской индустрии используют в среднем около 12 трекеров, в то время как сайты сферы здравоохранения – чуть менее 6. Наиболее опасным считается отслеживание данных на страницах оплаты, что подчеркивает необходимость обучения маркетингового персонала издательских компаний.
Анализ показал существенные различия в уровнях риска для разных отраслей. Сайты развлекательной индустрии подвержены почти вдвое большему количеству вредоносной активности, чем сайты финансовой отрасли. В то же время, сайты образовательной индустрии сталкиваются с повышенным риском из-за чрезмерного использования общедоступных сетей доставки контента.
Вывод однозначен: универсальный подход к веб-безопасности не работает. Каждая отрасль имеет свои специфические риски, и для их снижения требуется индивидуальная стратегия. Для оценки и минимизации рисков компания Reflectiz разработала инструмент «Рейтинг уязвимости» (Exposure Rating). Эта система анализирует факторы риска в контексте их применения и присваивает веб-сайту оценку от A до F, а также предлагает рекомендации по устранению выявленных уязвимостей.
Например, исследование показывает, что в 53% случаев уязвимость в розничной торговле возникает из-за чрезмерного использования инструментов отслеживания. Это подчеркивает важность тщательного анализа и контроля за тем, какие трекеры, как и где используются на веб-сайте. Установка на страницы оплаты требует особенно пристального внимания.
В свете обнаруженных уязвимостей, компаниям рекомендуется ограничить доступ сторонних приложений к конфиденциальной информации пользователей, проверять безопасность менее популярных приложений и тщательно контролировать использование технологий отслеживания. Кроме того, необходимо проводить обучение персонала, особенно в маркетинговом отделе, правилам безопасной работы с веб-сайтом. Использование «Рейтинга уязвимости» от Reflectiz может стать первым шагом на пути к более эффективной защите веб-ресурсов.
В заключение, компании должны понимать, что риски веб-безопасности не всегда очевидны и могут скрываться в, казалось бы, безобидных сторонних приложениях и трекерах. Проактивный подход, непрерывный мониторинг и постоянное совершенствование мер защиты – вот ключ к обеспечению безопасности пользовательских данных. Для получения более подробной информации рекомендуется ознакомиться с полным отчетом исследования.
