Публикации
HPE InfoSight – искусственный интеллект для центров обработки данных, статья
Использование Linux в общедоступных корпоративных облаках, статья
Перспективы и проблемы ИИ, статья
Платформы Cisco для аналитики, статья
SCM – перспективы одноуровневой памяти, статья
Intel: новые флэш-устройства, статья
ETERNUS AF S2 – новый уровень ценовой доступности для цифровой трансформации , статья
Evergreen – решение главной проблемы СХД , статья
Cisco: гиперконвергенция для новых вызовов , статья
2018 – год начала больших перемен в отрасли , статья
HPDA: еще и ускорение аналитики больших данных , статья
Компоненты архитектуры Intel для СХД нового поколения , статья
SAP Leonardo ML “в разрезе” , статья
Единая платформа мониторинга гетерогенных СХД, статья
 
Обзоры
Все обзоры в Storage News
 
Тематические публикации
Flash-память
Облачные вычисления/сервисы
Специализ. СХД для BI-хранилищ, аналитика "больших данных", интеграция данных
Современные СХД
Информационная безопасность (ИБ), борьба с мошенничеством
Рынки
Positive Technologies: киберпреступники могут похитить персональные данные пользователей 44% веб-приложений

15, июнь 2018  —  По результатам анал и за было установлено, что злоумышленники могут получить персональные данные в 44% систем, в которых осуществляется их обработка. Речь идет, среди прочего, о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации составляет 70%.

Атаки на пользователей веб-приложения могут быть совершены в 96% систем. Несанкционированный доступ к приложению может быть получен примерно в каждом втором случае (48%). При этом возможность получения полного контроля над приложением была выявлена примерно в каждом шестом случае (17%).

Уязвимости той или иной степени риска содержатся в каждом веб-приложении. При этом аналитики отметили позитивную тенденцию: доля веб-приложений, содержащих критически опасные уязвимости, снижается второй год подряд. В 2017 году в 52% приложений были выявлены уязвимости высокой степени риска. При этом наблюдается рост доли приложений, содержащих уязвимости низкой степени риска: в 2017 году они были обнаружены в 74% исследованных систем.

Самой распространенной уязвимостью по-прежнему является « Межсайтовое выполнение сценариев » (Cross-Site Scripting), она была выявлена в 74% систем. Также среди распространенных ошибок, позволяющих проводить атаки на пользователей, присутствуют « Подделка межсайтового запроса » (Cross-Site Request Forgery) и « Открытое перенаправление » (URL Redirector Abuse).

В каждом четвертом приложении эксперты смогли эксплуатировать уязвимость « Внедрение операторов SQL »; с ее помощью злоумышленник может получить чувствительную информацию из СУБД, включая учетные данные пользователей. В 9% приложений выявлялись такие опасные уязвимости, как « Выполнение произвольного кода » (OS Commanding), « Внедрение внешних сущностей XML » (XML External Entities), « Выход за пределы назначенного каталога » (Path Traversal).

Значительная доля обнаруженных ошибок (65%) были допущены при разработке приложений и содержатся в их программном коде, а некорректные параметры конфигурации веб-серверов составили около трети от общего числа недостатков безопасности.

« Большинства выявленных проблем можно было бы избежать с помощью внедрения принципов безопасной разработки, включая анализ защищенности кода еще в процессе его написания, — рассказывает аналитик Positive Technologies Дмитрий Каталков . — Доступ к исходному коду повышает эффективность анализа защищенности: при ручном анализе он позволял нам выявить критически опасные уязвимости в 100% приложений ».

Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов.

Подробнее — на www.ptsecurity.ru , facebook.com/PositiveTechnologies , facebook.com/PHDays , twitter.com/ptsecurity

Публикации по теме
Информационная безопасность (ИБ), борьба с мошенничеством
 
Новости Positive Technologies

© "Storage News" journal, Russia&CIS
Редакция: 115516, Москва, а/я 57; тел./факс - (495) 233-4935;
www.storagenews.ru; info@storagenews.ru.