ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций

» Архив пресс-релизов

» Авторам от редакции

» Добавить пресс-релиз

48IT технологии «

1Антивирусы «

9Промышленность и производство «

4Банки «

7Культура, искусство «

12Образование, учеба «

4Природа, окружающая среда «

1Спорт «

Договора, соглашения «

9Логистика, транспорт «

5Благотворительность «

Скидки «

5Прочие события «

Другие статьи «

Комментарии специалистов «

1Недвижимость «

4Аналитика «

Самое-самое //

Пресс-релизы //

» Добавить пресс-релиз

«Информзащита» назвала ТОП популярных уязвимостей 2015 года

Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора, ритейла, госучдержениях и телекоме.
Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора*, ритейла, госучдержениях и телекоме.
В ходе анализа защищенности информационных систем подавляющее количество уязвимостей было выявлено в финансовом секторе (67%), почти в 3 раза меньше – в ритейле (21%), чуть меньше – в госсекторе и телекоме (8% и 4% соответственно).
Александр Гореликов, руководитель отдела анализа защищенности компании «Информзащита»:
«Выполненные проверки позволили выявить множество слабых мест в информационных системах заказчиков, но при этом позволили своевременно устранить выявленные уязвимости. При этом 29% клиентов подвергались целенаправленным атакам при помощи средств социальной инженерии, что говорит о неизменно низком уровне осведомленности бизнес-пользователей в области ИБ».
Уязвимости публичных веб-приложений (внешний периметр) по классификации международной организации OWASP
Наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг), позволяющая совершать атаки на пользователей приложений. Данный тип уязвимости был выявлен у 25% клиентов.
Второй по популярности стала уязвимость Security Misconfiguration, небезопасная конфигурация веб-приложения или его окружения, которая была обнаружена более чем у 20% клиентов.
По сравнению с предыдущим годом, в топ также попали две новые уязвимости. Sensitive Data Exposure - хранение и передача «критичных данных» в открытом виде. Injection – возможность внедрения вредоносного подзапроса в легитимный запрос к серверу с последующим чтением/модификацией данных, вплоть до компрометации сервера.
Уязвимости сетевого уровня
Тенденция прошлого года сохранилась – уязвимости практически не изменились, однако их распространенность к атаке STP Claiming Root Role возросла почти в три раза и была выявлена у 59% клиентов.
В свою очередь, распространенность уязвимостей к атаке ARP Cache Poisoning, позволяющая внутреннему нарушителю реализовать атаку Man-In-The-Middle, возросла на 6% и встречалась в этом году в более чем в 66% случаях.
Уязвимости уровня приложений
Среди уязвимостей приложений лидерами являются «Использование учетных записей по умолчанию» и «SNMP-community строки по умолчанию», выявленные у 50% клиентов.
На втором месте по распространенности (46%) уязвимости протокола SSLv3 – «POODLE» и криптографического пакета OpenSSL – «MS14-066». Последняя более известна как «Winshock», и в прошлом году встречалась гораздо реже.
Остальные, менее значимые, но при этом достаточно распространенные:
• недоверенный сертификат SSL;
• множественные уязвимости в веб сервере Apache версии 2.2 < 2.2.28;
• уязвимость Oracle TNS Listener Poison.
С наиболее распространенными уязвимостями, выявленными в 2014 году, можно ознакомиться здесь: http://www.infosec.ru/news/7892
Данные для отчета предоставлены Кириллом Николаевым, специалистом отдела анализа защищенности компании «Информзащита».

*в финансовый сектор включены банки, ежегодно подтверждающие соответствие требованиям регуляторов (в частности, Стандарт PCI DSS).

Контактное лицо: Ирина Кудрявцева (написать письмо автору)
Компания: ЗАО НИП "ИНФОРМЗАЩИТА" (все новости этой организации)
Добавлен: 11:18, 24.12.2015
Количество просмотров: 717

UDV Group: до 80% атак успешны из-за базовых ошибок: почему кибербезопасность остается слабым звеном российского бизнеса, UDV Group, 22:07, 28.04.2026, Россия

135

Российский бизнес продолжает оставаться уязвимым для кибератак - и причина здесь не столько в отсутствии технологий, сколько в системных ошибках их настройки и эксплуатации. По данным компании «Бастион», до 80% атак завершаются успехом злоумышленников именно из-за таких факторов.

«1С-Рарус» модернизировал систему регламентированного учета в «Самарской сетевой компании», 1С-Рарус, 22:07, 28.04.2026, Россия

134

«Самарская сетевая компания» совместно с «1С-Рарус» перевела регламентированный учет с «1С:Управление производственным предприятием» на «1С:Управление холдингом». Выполнена адаптация системы под специфику электросетевого предприятия. Обеспечена синхронизация данных по закупкам, запасам и финансам.

3Logic Group развивает подход к поставкам оборудования под собственными марками, 3Logic Group, 22:03, 28.04.2026, Россия

132

3Logic Group, дистрибьютор комплектующих и ИТ-решений, сообщает о развитии сервиса поставки оборудования под собственными торговыми марками Raskat, Crusader в рамках которого сборка оборудования для партнеров осуществляется без дополнительной оплаты.

«Гравитон» расширяет серверный портфель линейкой оборудования для проектов вне обязательного реестрового контура, «Гравитон», 22:00, 28.04.2026,

134

Разработчик и производитель отечественной вычислительной техники «Гравитон» объявляет о расширении ассортимента серверных решений и выделении новой категории оборудования. Компания выводит на рынок линейку высокопроизводительных серверов, предназначенную для реализации масштабных ИТ-проектов в сегментах, где наличие техники в реестре Минпромторга РФ не является обязательным требованием.

Интеграция сервисов «Телфин» и CURS24 повышает качество бизнес-коммуникаций, Телфин, 21:56, 28.04.2026, Россия

Провайдер коммуникационных сервисов «Телфин» объявил об интеграции виртуальной АТС «Телфин.Офис» с системой CURS24. Связка бизнес-приложений создает бесшовный рабочий процесс, обеспечивая свободный обмен данными между телефонией и CRM, повышая общую производительность, а также качество взаимодействия с клиентами.

Российские колледжи и школы закупили более 100 новейших дронов для обучения, Клевер Coex, 21:55, 28.04.2026, Россия	43
К 24 апреля компания «Клевер COEX» реализовала уже более 100 образовательных квадрокоптеров новейшей линейки «Клевер 5» с момента презентации продукта, и более 150 единиц готовятся к отгрузке.

«Группа Астра» и «Элерон» объединяют усилия для создания доверенных решений в сфере физической безопасности, Группа Астра, 21:53, 28.04.2026, Россия

«Группа Астра» и АО «ФЦНИВТ «СНПО «Элерон» (входит в Государственную корпорацию по атомной энергии «Росатом») заключили договор о совместной разработке доверенных программно-аппаратных комплексов. Документ был подписан в рамках конференции «Ассоциации крупнейших потребителей программного обеспечения и оборудования» (АКПО-Конф).

«Невский экологический оператор» перевел корпоративные коммуникации на отечественную платформу CommuniGate Pro, CommuniGate Pro, 21:52, 28.04.2026, Россия	39
«Невский экологический оператор» завершил проект по миграции на платформу унифицированных коммуникаций CommuniGate Pro.

«Хи-Квадрат» представил отечественную экосистему для создания и эксплуатации корпоративных приложений, Хи-Квадрат, 21:52, 28.04.2026, Россия	38
Компания «Хи-Квадрат» завершила производственные испытания экосистемы для разработки и эксплуатации бизнес-приложений, целиком построенной на базе отечественных компонентов

Сервер «Гравитон» С2124Б на базе российских процессоров Baikal-S включен в реестр Минпромторга России, «Гравитон», 21:51, 28.04.2026,

Компания «Гравитон», разработчик и производитель российской вычислительной техники, объявляет об успешном включении нового высокопроизводительного сервера «Гравитон» С2124Б в реестр промышленной продукции Минпромторга России.