21.01.2015 Новости, БезопасностьРаспределение участников исследования уязвимостей информационных систем по отраслям (источник: “Информзащита”, январь 2015 г.)
Это показывают итоги исследования, которое провели специалисты «Информзащиты», проанализиров на уязвимости информационные системы 50 компаний из различных отраслей: ритейл, банки и финансы, девелопмент, государственные учреждения, телеком. Согласно итогам данного исследования, в ИС некоторых заказчиков встречаются критические уязвимости аж 2008 г. Эксперты «Информзащиты» связывают это печальное явление не только с низкой осведомленность сотрудников в области ИБ, но и с использованием (в ряде случаев) старого ПО, которое более не поддерживается и не проходит тестирование на совместимость с обновлениями безопасности. Данная ситуация позволяет злоумышленникам с хорошей фантазией и без специальных знаний получить доступ к внутренней сети, используя методы социальной инженерии. Исследование показывает, что наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг). Данный тип уязвимости встречался в 38% проанализированных приложений, то есть практически в каждом третьем сайте. Вторыми по популярности стали уязвимости типа Using Components with Known Vulnerabilities (использование компонентов с известными уязвимостями) и Security Misconfiguration (небезопасная конфигурация веб-приложения или его окружения), которые были выявлены у 25% клиентов. Наименее распространенной оказалась уязвимость Broken Authentication and Session management (небезопасное использование данных сеанса при работе с веб-приложением), которая обнаружилась у 19% клиентов ...
читать далее.