IT-системы крупных компаний может взломать даже начинающий хакер


Множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

Данные для исследования
» Нажмите, для открытия спойлера | Press to open the spoiler «


Уязвимы все
» Нажмите, для открытия спойлера | Press to open the spoiler «


Распространенные уязвимости сетевого периметра
» Нажмите, для открытия спойлера | Press to open the spoiler «


Безопасность ресурсов внутренней сети


» Нажмите, для открытия спойлера | Press to open the spoiler «



Человеческий фактор
» Нажмите, для открытия спойлера | Press to open the spoiler «


Выводы


В целом наиболее существенные проблемы были выявлены в централизованных системах уровня инфраструктуры (таких так Microsoft Active Directory), серверных компонентах, СУБД и веб-приложениях. Именно через эти системы удавалось в большинстве случаев получать доступ к критическим ресурсам, а также преодолевать внешний периметр сети.

Несмотря на масштабные меры по обеспечению ИБ в рассмотренных компаниях, полученные практические результаты свидетельствуют об их низкой эффективности. Так, множественные ошибки в веб-приложениях говорят о неэффективности процесса аудита информационной безопасности в области веб-приложений, а не устанавливаемые в течение нескольких лет обновления — об отсутствии процесса управления уязвимостями и обновлениями.

С полной версией отчета об исследовании можно ознакомиться
на сайте Positive Technologies
http://www.securityla...ka_pentest.pdf[HIDE].

Источник: Securitylab_ru