ATREX.RU
Пресс релизы коммерческих компаний и общественных организаций

» Архив пресс-релизов

» Авторам от редакции

» Добавить пресс-релиз

IT технологии «

Антивирусы «

Промышленность и производство «

1Банки «

Культура, искусство «

Образование, учеба «

Природа, окружающая среда «

Наука «

Медицина «

Фармацевтика «

Спорт «

Реклама, PR «

Договора, соглашения «

Логистика, транспорт «

Благотворительность «

Скидки «

Прочие события «

Другие статьи «

Комментарии специалистов «

Недвижимость «

Аналитика «

Самое-самое //

Пресс-релизы //

» Добавить пресс-релиз

«Информзащита» назвала ТОП популярных уязвимостей 2015 года

Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора, ритейла, госучдержениях и телекоме.
Специалисты «Информзащиты» представили новый аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора*, ритейла, госучдержениях и телекоме.
В ходе анализа защищенности информационных систем подавляющее количество уязвимостей было выявлено в финансовом секторе (67%), почти в 3 раза меньше – в ритейле (21%), чуть меньше – в госсекторе и телекоме (8% и 4% соответственно).
Александр Гореликов, руководитель отдела анализа защищенности компании «Информзащита»:
«Выполненные проверки позволили выявить множество слабых мест в информационных системах заказчиков, но при этом позволили своевременно устранить выявленные уязвимости. При этом 29% клиентов подвергались целенаправленным атакам при помощи средств социальной инженерии, что говорит о неизменно низком уровне осведомленности бизнес-пользователей в области ИБ».
Уязвимости публичных веб-приложений (внешний периметр) по классификации международной организации OWASP
Наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг), позволяющая совершать атаки на пользователей приложений. Данный тип уязвимости был выявлен у 25% клиентов.
Второй по популярности стала уязвимость Security Misconfiguration, небезопасная конфигурация веб-приложения или его окружения, которая была обнаружена более чем у 20% клиентов.
По сравнению с предыдущим годом, в топ также попали две новые уязвимости. Sensitive Data Exposure - хранение и передача «критичных данных» в открытом виде. Injection – возможность внедрения вредоносного подзапроса в легитимный запрос к серверу с последующим чтением/модификацией данных, вплоть до компрометации сервера.
Уязвимости сетевого уровня
Тенденция прошлого года сохранилась – уязвимости практически не изменились, однако их распространенность к атаке STP Claiming Root Role возросла почти в три раза и была выявлена у 59% клиентов.
В свою очередь, распространенность уязвимостей к атаке ARP Cache Poisoning, позволяющая внутреннему нарушителю реализовать атаку Man-In-The-Middle, возросла на 6% и встречалась в этом году в более чем в 66% случаях.
Уязвимости уровня приложений
Среди уязвимостей приложений лидерами являются «Использование учетных записей по умолчанию» и «SNMP-community строки по умолчанию», выявленные у 50% клиентов.
На втором месте по распространенности (46%) уязвимости протокола SSLv3 – «POODLE» и криптографического пакета OpenSSL – «MS14-066». Последняя более известна как «Winshock», и в прошлом году встречалась гораздо реже.
Остальные, менее значимые, но при этом достаточно распространенные:
• недоверенный сертификат SSL;
• множественные уязвимости в веб сервере Apache версии 2.2 < 2.2.28;
• уязвимость Oracle TNS Listener Poison.
С наиболее распространенными уязвимостями, выявленными в 2014 году, можно ознакомиться здесь: http://www.infosec.ru/news/7892
Данные для отчета предоставлены Кириллом Николаевым, специалистом отдела анализа защищенности компании «Информзащита».

*в финансовый сектор включены банки, ежегодно подтверждающие соответствие требованиям регуляторов (в частности, Стандарт PCI DSS).

Контактное лицо: Ирина Кудрявцева (написать письмо автору)
Компания: ЗАО НИП "ИНФОРМЗАЩИТА" (все новости этой организации)
Добавлен: 11:18, 24.12.2015
Количество просмотров: 612

Студенты СПбГАСУ будут учиться моделированию на цифровой платформе RITM³ компании SIMETRA, Simetra, 01:44, 04.05.2024, Россия

498

ГК SIMETRA и Санкт-Петербургский государственный архитектурно-строительный университет (СПбГАСУ) заключили соглашение о сотрудничестве. В рамках соглашения SIMETRA поставила вузу академические лицензии на использование в образовательном процессе цифровой платформы RITM³.

HRlink повысил надежность работы сервиса кадрового ЭДО, HRlink, 01:11, 04.05.2024, Россия

260

Архитектуру платформы кадрового электронного документооборота (ЭДО) HRlink адаптировали к существенному росту количества пользователей. Кроме того, в 2024 году HRlink первой на рынке решений для безбумажного КДП занялась подключением второго удостоверяющего центра для электронных подписей.

700 заявок, увеличение рабочей группы и акцент на практику: BIA Technologies подвела итоги «Школы тестировщиков», BIA Technologies, 01:44, 04.05.2024, Россия	257
В этом году по результатам обучения сертификаты о прохождении курса получили 35 выпускников, а 16 из них теперь работают в компании.

В системе управления базами знаний Документерра появились ИИ-инструменты, Документерра, 01:05, 04.05.2024,

260

Облачная платформа для совместной работы с документацией и базами знаний Документерра представляет свое последнее обновление. Сюда входят: сразу две новых функции на основе ИИ, новые интеграции с помощью Zapier и ряд других полезных дополнений.

Efros Defence Operations начал серию совместимостей с оборудования D-Link, Газинформсервис, 00:54, 04.05.2024, Россия

Специалисты компаний «Газинформсервис» и ООО «Д-Линк Трейд» успешно завершили технические испытания совместимости. Испытания подтвердили корректность функционирования комплекса по защите ИТ-инфраструктуры Efros DefOps с оборудования D-Link серий DGS-1210-XX, DGS-1210-XX/ME, DGS-3130-XX, DGS-3630-XX, DXS-3610-XX.

ТрансТелеКом перевел на облачную платформу Виртуальной АТС телефонию сети автосалонов КЛЮЧАВТО, АО Компания ТрансТелеКом, 00:53, 04.05.2024, Россия

Оператор цифровых сервисов Компания ТрансТелеКом перевела на свой сервис «Виртуальная АТС» сеть автосалонов КЛЮЧАВТО. Миграция на платформу ВАТС ТТК и переход на сервисную модель позволили повысить эффективность обработки звонков и минимизировать затраты.

Галэкс на IT-SUMMIT 2024, Галэкс, 00:50, 04.05.2024,	31
В середине апреля в Екатеринбурге прошла ежегодная конференция «IT-SUMMIT 2024. Встреча лидеров ИТ-индустрии».

MONT предложит партнерам решение «Лаборатории Касперского» для обнаружения дронов, MONT, 15:09, 02.05.2024, Россия

174

В продуктовом портфеле ГК MONT появилось решение для обнаружения дронов – Kaspersky Antidrone от «Лаборатории Касперского». Программно-аппаратный комплекс подходит для любого типа объектов и направлен на обнаружение, классификацию и нейтрализацию беспилотников.

ИЦ ТЕЛЕКОМ-СЕРВИС — Бизнес-партнер компании «1С-Битрикс», ИЦ ТЕЛЕКОМ-СЕРВИС, 00:55, 01.05.2024, Россия	189
ИЦ ТЕЛЕКОМ-СЕРВИС заключил партнерское соглашение с компанией «1С-Битрикс» — российским разработчиком программных продуктов для управления веб-проектами и корпоративными порталами.

Сервисы «Телфин» помогают ГК «Шанс» и сети магазинов «ОхотАктив» оценить эффективность работы сотрудников, Телфин, 00:53, 01.05.2024, Россия

188

Российский провайдер коммуникационных решений «Телфин» завершил интеграцию сервисов оценки качества звонков в телеком-инфраструктуру ГК «Шанс» и сеть магазинов «ОхотАктив» для удаленной координации работы сотрудников.