|
Календарь мероприятий
апрель  2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
показать все 
Новости партнеров
Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!
Читать далее
Ассоциация разработчиков «Отечественный софт» отметила 15-летие
Читать далее
РДТЕХ представил Технологическую карту российского ПО 2023
Читать далее
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool
Читать далее
показать все
Статьи
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?
Читать далее
Мотивируй, не то проиграешь!
Читать далее
В 2024 году в России и мире вырастут объемы применения AR/VR
Читать далее
Цифровые технологии: надежды и риски
Читать далее
Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?
Читать далее
Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства
Читать далее
показать все
|
PHDays V: эксперты Positive Technologies назвали главные уязвимости информационных систем в 2014 году
Главная / Новости партнеров / PHDays V: эксперты Positive Technologies назвали главные уязвимости информационных систем в 2014 году
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Основными источниками киберугроз для крупного бизнеса стали ошибки веб-приложений, слабые пароли и собственные сотрудники. Такие наблюдения содержатся в исследовании Positive Technologies «Статистика уязвимостей корпоративных информационных систем», полная версия которого будет представлена в ходе международного форума по практической безопасности Positive Hack Days 26—27 мая в Москве.
Как выяснили эксперты, 94% корпоративных IT-систем не защищены от взлома и позволяют получить полный контроль над критически важными ресурсами компаний, такими как электронная почта, системы управления сетевым оборудованием, Active Directory и ERP.
В 2014 году, как и годом ранее, почти все исследованные системы оказались подвержены уязвимостям высокой степени риска, в том числе связанным с недостатками конфигурации. В 67% случаев получение полного контроля над одним из важнейших ресурсов оказалось возможным от лица любого внешнего злоумышленника и в 27% случаев для этого достаточно было иметь доступ к пользовательскому сегменту внутренней сети.
Большинство систем (78%), протестированных в 2014 году, содержали критически опасные уязвимости, возникшие в результате использования устаревших версий ПО (результат заметно хуже, чем в прошлом году, когда таких систем было немногим более половины). Практически в каждой информационной системе (89%) выявлены уязвимости, связанные с ошибками в коде веб-приложений; более чем в половине компаний (61%) это были уязвимости высокой степени риска.
В отчете Positive Technologies были проанализированы информационные системы 18 крупных государственных и коммерческих компаний с большим количеством дочерних организаций и филиалов в разных городах и странах. Часть исследованных компаний входит в Fortune Global 500 и рейтинг агентства «Эксперт». В рамках тестирования моделировалось поведение потенциального нарушителя, действующего со стороны интернета или из внутренней сети организации. Этот подход позволил оценить реальный уровень безопасности системы и выявить недостатки механизмов защиты. В отчете дается сравнение результатов с показателями предыдущего года.
Отчет Positive Technologies затрагивает основные направления информационной безопасности — защиту сетевого периметра, внутренней сети и корпоративных пользователей.
Сетевой периметр
Сложность проведения атак в 2014 году оказалась заметно ниже, чем в предыдущие годы, а преодоление сетевого периметра в 60% систем стало возможным через уязвимости веб-приложений. Почти во всех случаях (80%), когда внешнему нарушителю удалось преодолеть сетевой периметр, он способен получить полный контроль над критически важными ресурсами.
Самые распространенные уязвимости на сетевом периметре — доступные из интернета интерфейсы управления сетевым оборудованием и серверами (доля выросла с 82 до 93%) и использование словарных паролей, в том числе установленных по умолчанию и пустых (87%). На сетевом периметре 67% систем выявлены словарные идентификаторы и пароли администраторов.
Внутренняя сеть
При тестировании от лица внутреннего злоумышленника (например, рядового сотрудника, находящегося в пользовательском сегменте сети) во всех случаях удалось получить несанкционированный привилегированный доступ к критически важным ресурсам (банковским, ERP-системам и другим ключевым компонентам сети). В 78% случаев внутренний нарушитель мог получить полный контроль над информационной инфраструктурой организации.
Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему остаются слабые пароли, которые были обнаружены во всех исследованных системах. При этом в каждой системе выявлены простые пароли администраторов (более половины — длиной до 6 символов). Следующая по распространенности уязвимость внутренних сетей — недостаточный уровень защиты привилегированных учетных записей (88% систем).
Осведомленность сотрудников
Вызывает опасение тот факт, что в 2014 году существенно снизился уровень осведомленности сотрудников в вопросах безопасности: они стали почти в 2 раза чаще, в сравнении с 2013 годом, переходить по незнакомым ссылкам и открывать приложенные к письмам файлы. Кроме того, было зафиксировано в 4 раза больше фактов ввода учетных данных и запуска приложенных к письму файлов.
«Результаты исследования наглядно свидетельствуют, что в информационные системы крупных компаний защищены недостаточно. Следует обратить особое внимание на усиление защиты веб-приложений и привилегированных учетных записей, а также повышение осведомленности пользователей. Мы рекомендуем регулярно проводить аудит безопасности и тесты на проникновение со стороны как внешнего, так и внутреннего нарушителя», — отметил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
Подробный отчет об исследовании уязвимостей информационных систем крупных компаний за 2014 год будет представлен на форуме Positive Hack Days V. На два дня конференция, организуемая компанией Positive Technologies, соберет вместе ведущих специалистов по безопасности и хакерскую элиту со всего мира. Эксперты Positive Technologies поделятся результатами целого ряда исследований, посвященных проблемам защиты различных систем и веб-приложений. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover.jpg)
