Отправить заявку

Для уточнения цены и количества товара заполните, пожалуйста, данную форму. При необходимости прикрепите файл

Файл заявки
*
- поле, обязательное для заполнения
Защита от автоматического заполнения  
Введите символы с картинки*

«Информзащита» назвала ТОП популярных уязвимостей 2015 года

«Информзащита» назвала ТОП популярных уязвимостей 2015 года
Содержание

    Компания «Информзащита» подготовила новый аналитический отчет по различным типам уязвимостей. Они были выявлены в 2015 году. Для этого специалисты «Информзащиты» провели тестирование на проникновение уязвимостей в госучреждениях, организациях ритейла, финансового сектора и телекоммуникационной отрасли.

    Как заявил Александр Гореликов, руководитель отдела анализа защищенности, выполненная проверка позволила открыть множество слабых мест в корпоративных сетях заказчиков. При этом все выявленные небезопасные участки были своевременно защищены.

    Число уязвимостей распределилось следующим образом:

    • 67 % – в финансовом секторе,
    • 21 % – в ритейле,
    • 8 % – в государственном секторе,
    • 4 % – в телекоме.

    29 % клиентов с помощью средств социальной инженерии подвергались адресным атакам. Такая ситуация свидетельствует о низком уровне осведомленности корпоративных пользователей в области информационной безопасности. Каждому из клиентов была предложена соответствующая программа защиты данных на компьютере.

    Уязвимости публичных web-приложений во внешнем периметре по классификации организации OWASP

    Как показало исследование компании «Информзащита», наиболее распространенная уязвимость – межсайтовый скриптинг (Cross-Site Scripting). Именно он позволяет совершать атаки на пользователей различных приложений. Этот тип уязвимости зафиксирован у 25 % клиентов.

    Второе место среди угроз безопасности получила небезопасная конфигурация web-приложений или их окружения (Security Misconfiguration). Такая проблема была обнаружена у 20 % клиентов.

    В число наиболее распространенных сетевых угроз также попали 2 новые уязвимости:

    1) хранение и открытая передача критичных данных (Sensitive Data Exposure);

    2) возможность внедрения вредоносных подзапросов в легитимные запросы к серверу с последующими чтением и модификацией данных, включая компрометацию сервера (Injection).

    Уязвимости сетевого уровня

    В данном секторе сохранились тенденции 2014 года. Уязвимости почти не изменились. При этом их распространенность по отношению к атаке STP Claiming Root Role выросла практически в 3 раза и составила 59 %.

    Также изменились показатели, касающиеся ARP Cache Poisoning и позволяющие внутреннему нарушителю реализовывать Man-In-The-Middle. Распространенность уязвимостей к этой атаке выросла на 6 %. В 2015 году она была выявлена в 66 % случаев.

    Уязвимости уровня приложений

    В ушедшем году лидерами среди уязвимостей стали:

    • SNMP-community строки по умолчанию;
    • использование учетных записей по умолчанию.

    Угрозы двух этих типов были обнаружены у 50 % клиентов «Информзащиты». Следующими по распространенности стали уязвимости протокола SSLv3 (POODLE) и криптографического пакета OpenSSL (MS14-066). Вторая имеет большую известность как Winshock и в 2014 году встречалась значительно реже. Наличие POODLE и MS14-066 зафиксировано в 46 % случаев.

    Менее значимыми, но достаточно распространенными угрозами стали:

    • недоверенный сертификат SSL,
    • уязвимость Oracle TNS Listener Poison,
    • множественные уязвимости в web-сервере Apache (версия 2.2 < 2.2.28).

    С опасностями, выявленными в исследовании компании «Информзащита», помогает справиться программное обеспечение, которое представлено в интернет-магазине Spectrasoft. Более подробно о предлагаемых продуктах вы можете узнать по телефону: +7 (495) 984-33-83.

    Опубликовано 20 января 2016
    1041

    Оцените материал!

    (Нет голосов)

    Отзывы (0)

    Добавить отзыв

    Наиболее интересные материалы

    ИТОГИ ПРЕЗЕНТАЦИИ MICROSOFT НА КОНФЕРЕНЦИИ BUILD 2016
    Презентация Microsoft началась выступлением главы компании Сатьи Наделлы, который назвал себя оптимистом, верящим в то, что технологии способны стать движущим фактором экономического роста по всему миру. Им было также сказано немало об облачных технологиях и их необычайной важности. Поскольку мероприятие предназначалось для разработчиков, основные анонсы касались программных усовершенствований Windows. Следует отметить, что в ходе презентации смартфонам, над которыми, возможно, работает компания, внимание уделено не было.
    Виртуализация данных, какое ПО выбрать?

    Виртуальные машины, представленные на современном рынке, имеют множество общих черт. Каждая из них предназначена для работы с образами дисков. Пользователи могут устанавливать оперативную память необходимого объема. Основные отличия – поддерживаемые операционные системы и стоимость.

    Обязательный набор офисных программ, каков он?

    Использование лицензионного программного обеспечения для работы в офисе – вопрос не только юридической и финансовой ответственности, но и деловой репутации. Ущерб от возможных рисков может в несколько раз превысить стоимость приобретения качественного продукта. Если купить программное обеспечение с лицензией, вы также получите необходимое сервисное обслуживание.

    Новости IT-рынка. Ростелеком» создал центр компетенций по разработке и переносу программ на «Эльбрусы»

    Крупнейший интегрированный провайдер высокоскоростного доступа в интернет, телевидения и прочих цифровых услуг «Ростелекомом», ставит своей задачей разработку и перенос программного обеспечения на процессоры «Эльбрус».