Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10356
  комментариев: 2242

Две трети крупнейших российских сайтов имеют критические уязвимости


В период с 2010 по 2011 г. эксперты компании Positive Technologies в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем проводили детальный анализ веб-приложений ключевых российских компаний и предприятий. Несмотря на хорошо выстроенные в этих организациях процессы ИБ, 10% проанализированных сайтов не только содержали критические уязвимости, но и были уже взломаны.

Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. Две трети веб-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска.

Лидером по количеству слабозащищенных сайтов оказались телекоммуникации: 88% ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу.

Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.

Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75% и 65% соответственно.

Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями — от промышленного шпионажа до полной остановкой производства или экологической катастрофы.

Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости.

Тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу.


Источник: cnews.ru

  7 июня 2012 610
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 9 и 16*:            


Хостеры (2444)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 12 и 7*:


Яндекс цитирования
сообщить о неточности