|
|
 |
|
|
 |
Специалисты «Информзащиты» проанализировали более 50 компаний на уязвимости: результаты
За прошедший год специалисты «Информзащиты» провели анализ защищенности более 50 организаций из различных отраслей: ритейл, банки и финансы, девелопмент, государственные учреждения, телеком.
Результаты тестов на проникновение показали следующее: внешний периметр большинства заказчиков является относительно защищенным, и лишь 20% клиентов имеют более серьезные уязвимости. А вот с внутренним периметром, по мнению экспертов «Информзащиты», дела обстоят несколько хуже: здесь встречаются критические уязвимости 2008 года. Эксперты связывают это с тем, что, с одной стороны, клиенты используют старое программное обеспечение, которое более не поддерживается и не проходит тестирование на совместимость с обновлениями безопасности. С другой стороны, осведомленность сотрудников в области ИБ остается по-прежнему низкой, что позволяет злоумышленникам с хорошей фантазией и без специальных знаний получить доступ к внутренней сети, используя методы социальной инженерии.
Захар Федоткин, начальник отдела анализа защищенности компании «Информзащита»: «Более половины компаний относятся к финансовому сектору. Такое распределение объясняется тем, что финансовый сектор в большей степени заинтересован в пентестах по двум причинам: требования регуляторов (в частности, Стандарт PCI DSS) и возможные финансовые потери, напрямую связанные с уровнем защищенности компании».
Наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг). Данный тип уязвимости встречался в 38% проанализированных приложений, то есть практически в каждом третьем сайте. Вторыми по популярности стали уязвимости типа Using Components with Known Vulnerabilities (использование компонентов с известными уязвимостями) и Security Misconfiguration (небезопасная конфигурация веб-приложения или его окружения), которые были выявлены у 25% клиентов. Наименее распространенной оказалась уязвимость Broken Authentication and Session management (небезопасное использование данных сеанса при работе с веб-приложением), которая обнаружилась у 19% клиентов.
Захар Федоткин: «Уязвимость Cross-Site Scripting до сих пор многие считают несерьезной, не уделяя ей должного внимания. Мы считаем это в корне неверным подходом, поскольку данная уязвимость позволяет получить доступ к чувствительным данным, а также выполнять действия от имени пользователя».
Уязвимость к атаке ARP Cache Poisoning встречалась в 60% проанализированных приложений, в то время как уязвимость к атаке STP Claiming Root Role была выявлена лишь у 20% клиентов.
Захар Федоткин: «60% клиентов не рассматривают всерьез действия потенциального внутреннего злоумышленника. Такая уязвимость делает возможным осуществление атаки типа MITM («человек посередине»)».
При анализе внутреннего периметра чаще всего встречалась уязвимость типа «Использование учетных записей по умолчанию», выявленная у 70% клиентов. Вторая по распространенности уязвимость – SNMP-community строки по умолчанию, выявленная у 50% клиентов. Чуть реже встречалась уязвимость «Открытый доступ к серверу X11» – в 40% случаев. Далее по нисходящей следуют уязвимости MS08-067: уязвимость в сервисе SMB – также 40% и MS09-004: уязвимость СУБД MSSQL – только 30%. При этом уязвимость MS08-067 делает возможным удаленное выполнение кода при получении уязвимой системой специально созданного RPC-запроса. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью и запустить произвольный код без прохождения проверки подлинности, а также посредством вирусов-червей или специально созданных средств.
Уязвимость MS09-004 позволяет исполнять произвольный код в рамках ОС и получить полный доступ к ней можно путем эксплуатации некорректной проверки параметров в хранимой процедуре sp_replwritetovarbin.
Остальные, менее значимые, но при этом достаточно распространенные:
•Уязвимость Oracle TNS Listener Poison – выявлена у 30% клиентов;
•Уязвимый сервис VxWorks WDB Debug – выявлена у 30% клиентов;
•Web Proxy Auto Discovery (MITM) – выявлена у 30% клиентов.
Контактное лицо: Ирина Кузнецова (написать письмо автору)
Компания: ЗАО НИП "Информзащита" (все новости этой организации)
Добавлен: 13:43, 21.01.2015
Количество просмотров: 674
| МегаФон и «Мария Мама» обучили родителей основам первой помощи детям, МегаФон, 03:31, 29.01.2025, Россия |
107 |
| МегаФон помог благотворительной организации «Мария мама» привлечь дополнительных слушателей на курсы по обучению первой помощи детям. Благодаря технологиям оператора более тысячи россиян из 11 регионов посетили однодневные школы и на практике отработали навыки спасения детей. |
 |
| INFRABASE вошел в реестр российского программного обеспечения, DCLogic, 05:50, 28.01.2025, Россия |
137 |
| Российский системный интегратор DCLogic c опытом разработки собственных продуктовых решений объявил о включении платформы для учета и управления ИТ-инфраструктурой INFRABASE в единый реестр программного обеспечения (ПО) России для электронных вычислительных машин и баз данных. |
 |
| Выручка Navicon увеличилась за 2024 год на 15%, Navicon, 05:49, 28.01.2025, Россия |
131 |
| Российский системный интегратор и разработчик Navicon подвел предварительные итоги работы за 2024 год. Выручка компании в России составила 1,9 млрд рублей, что на 15% больше, чем в 2023 году. |
 |
| МегаФон усилил операционных блок в Москве новым назначением, МегаФон, 05:41, 28.01.2025, Россия |
125 |
| Оператор в начале года ввел в макрорегионе Столица позицию директора московского отделения. На эту должность назначен Виктор Югай. В задачи нового топ-менеджера входит реализация телеком-стратегии компании на розничном и корпоративном рынке, усиление операционной эффективности и усовершенствование бизнес-процессов во внутреннем контуре компании в Москве и области. |
 |
|
|
|
|
|
|
Разделы //
Новости по странам //
Сегодня у нас публикуются //
|
|
