 |
«Информзащита» назвала ТОП популярных уязвимостей 2015 года
Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора, ритейла, госучдержениях и телекоме. Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора*, ритейла, госучдержениях и телекоме. В ходе анализа защищенности информационных систем подавляющее количество уязвимостей было выявлено в финансовом секторе (67%), почти в 3 раза меньше – в ритейле (21%), чуть меньше – в госсекторе и телекоме (8% и 4% соответственно). Александр Гореликов, руководитель отдела анализа защищенности компании «Информзащита»: «Выполненные проверки позволили выявить множество слабых мест в информационных системах заказчиков, но при этом позволили своевременно устранить выявленные уязвимости. При этом 29% клиентов подвергались целенаправленным атакам при помощи средств социальной инженерии, что говорит о неизменно низком уровне осведомленности бизнес-пользователей в области ИБ». Уязвимости публичных веб-приложений (внешний периметр) по классификации международной организации OWASP Наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг), позволяющая совершать атаки на пользователей приложений. Данный тип уязвимости был выявлен у 25% клиентов. Второй по популярности стала уязвимость Security Misconfiguration, небезопасная конфигурация веб-приложения или его окружения, которая была обнаружена более чем у 20% клиентов. По сравнению с предыдущим годом, в топ также попали две новые уязвимости. Sensitive Data Exposure - хранение и передача «критичных данных» в открытом виде. Injection – возможность внедрения вредоносного подзапроса в легитимный запрос к серверу с последующим чтением/модификацией данных, вплоть до компрометации сервера. Уязвимости сетевого уровня Тенденция прошлого года сохранилась – уязвимости практически не изменились, однако их распространенность к атаке STP Claiming Root Role возросла почти в три раза и была выявлена у 59% клиентов. В свою очередь, распространенность уязвимостей к атаке ARP Cache Poisoning, позволяющая внутреннему нарушителю реализовать атаку Man-In-The-Middle, возросла на 6% и встречалась в этом году в более чем в 66% случаях. Уязвимости уровня приложений Среди уязвимостей приложений лидерами являются «Использование учетных записей по умолчанию» и «SNMP-community строки по умолчанию», выявленные у 50% клиентов. На втором месте по распространенности (46%) уязвимости протокола SSLv3 – «POODLE» и криптографического пакета OpenSSL – «MS14-066». Последняя более известна как «Winshock», и в прошлом году встречалась гораздо реже. Остальные, менее значимые, но при этом достаточно распространенные: • недоверенный сертификат SSL; • множественные уязвимости в веб сервере Apache версии 2.2 < 2.2.28; • уязвимость Oracle TNS Listener Poison. С наиболее распространенными уязвимостями, выявленными в 2014 году, можно ознакомиться здесь: http://www.infosec.ru/news/7892 Данные для отчета предоставлены Кириллом Николаевым, специалистом отдела анализа защищенности компании «Информзащита».
*в финансовый сектор включены банки, ежегодно подтверждающие соответствие требованиям регуляторов (в частности, Стандарт PCI DSS).
Контактное лицо: Ирина Кудрявцева (написать письмо автору)
Компания: ЗАО НИП "ИНФОРМЗАЩИТА" (все новости этой организации)
Добавлен: 11:18, 24.12.2015
Количество просмотров: 730
| Быстрее самолётов: в аэрогавани «Нерюнгри» увеличили скорости 4G, МегаФон, 23:01, 30.06.2026, Россия |
86 |
| Пассажирам и сотрудникам аэропорта «Нерюнгри» в Чульмане стал доступен более быстрый мобильный интернет МегаФона. Техническая служба оператора запустила в воздушной гавани базовую станцию с поддержкой LTE. Благодаря проведённым работам скорости передачи данных теперь достигают 75 Мбит/с. |
|
| От «умного дома» до прогулок у озера — в Тюмени улучшили связь для тысяч новосёлов, МегаФон, 23:01, 30.06.2026, Россия |
85 |
| МегаФон запустил новые базовые станции в семи жилых комплексах областного центра Тюменской области: «Юнион», «Централь», «Новый», «Дивный квартал у озера», «Опера», «Мотивы», «Ново Комарово». Новостройки находятся в разных точках города, в общей сложности в них уже проживают несколько тысяч человек, ещё столько же готовятся к новоселью. |
|
| МегаФон увеличил покрытие на региональной трассе в Удмуртии, МегаФон, 23:00, 30.06.2026, Россия |
84 |
| МегаФон запустил новые базовые станции в населённых пунктах, прилегающих к региональной автодороге, соединяющей Сарапул и Камбарку: теперь жители сёл Мазунио и Тарасово будут на связи с близкими и друзьями, смогут пользоваться цифровыми сервисами. Для автомобилистов в этих локациях стали доступны голосовые вызовы, загрузка карт, использование навигационных сервисов. |
|
| «ПрограмБанк» внедрил нейросетевую верификацию лиц, Компания ПрограмБанк, 22:58, 30.06.2026, |
82 |
| Технология не только снижает риски мошенничества, но и исключает дублирование записей в базе данных при изменении клиентом ФИО, документа, удостоверяющего личность, или номера телефона. |
|
|
 |