Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

20 апреля 2017
Российские компании-разработчики в области корпоративной информационной безопасности ИнфоТеКС, InfoWatch и MobilityLab …
18 апреля 2017
ИТ-инфраструктура банка представляет собой разветвленную многоуровневую систему информационной безопасности, состоящую из …
10 апреля 2017
4 апреля вышло обновление ИКС 5.1. В этой версии значительно доработан и расширен функционал, внесены правки в алгоритм …
28 марта 2017
Тема подготовки специалистов в области защиты автоматизированных систем управления производственными и технологическими …
28 марта 2017
PT Application Firewall Cloud DDoS Protection защищает от всех видов DDoS-атак
21 марта 2017
Компания ARinteg провела тестирование самых популярных средств защиты банкоматов: SafenSoft TPSecure, Kaspersky Embedded …
17 марта 2017
Компания ALTELL зарегистрировала ALTELL TRUST в «Едином реестре российских программ для электронных вычислительных машин и …
14 марта 2017
В обновлении Elcomsoft Phone Breaker 6.45 включена поддержка «облачных» резервных копий iOS 10.3, исправлена проблема с …
Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Статья

Эксперты: Малые и средние компании под угрозой хакерских атак

Файл: the_growing_hacking_threat_to_websites.pdf PDF, 610 Kb

Эксперты: Малые и средние компании под угрозой хакерских атак

Компания Frost & Sullivan опубликовала исследование, в котором описала современные проблемы защиты web-приложений. По словам экспертов, на сегодняшний день все компании, в наибольшей степени малые и средние, находятся под угрозой потери доходов от успешной хакерской атаки.

При подготовке исследования сотрудники Frost & Sullivan использовали материалы, предоставленные MITRE , High-Tech Bridge и Online Trust Alliance .

При обеспечении безопасности web-платформ IT работнику необходимо помнить о том, что корпоративные системы могут подвергаться атакам по различным векторам, а у злоумышленников могут быть очень разнообразные цели. Так, при проведении нецелевой атаки серверы компании, которые напрямую подключены к интернету, подвергаются сканированию на наличие популярных уязвимостей. В то же время при подготовке к отражению целевой атаки потенциальный взломщик может воспользоваться очень широким набором инструментов, в том числе методами социальной инженерии в сочетании с распространенными уязвимостями web приложений, например XSS. Исследование выявило, что 3 из 4 успешных атак на сетевую инфраструктуру компании осуществлялись с использований брешей в web-приложениях.

В исследовании приводится статистика Web Application Security Consortium (WASC) , согласно которой 83% всех web-сайтов в интернете содержат, по крайней мере, одну серьезную уязвимость, успешная эксплуатация которой может привести к очень серьёзным последствиям, от утечки данных, до создания бэкдора в системе. Также разработчик web-приложения должен помнить, что сохранность структуры базы данных является более важной, чем структура самого web-сайта.

Еще одним важным фактором в обеспечении безопасности web-приложений является человеческий фактор. «Владельцы сайтов, редакторы, и все остальные люди с административным доступом к web-приложению, являются потенциальной мишенью», - говорится в исследовании.

По мнению исследователей, безопасность web-приложений должна основываться на трех основных китах:

  • Жизненный цикл. Предполагается интеграция безопасности в цикл разработки приложения. Безопасные web-приложения разрабатываются опытными профессионалами, которые сосредоточены не только на продуктивности и скорости, но также и на безопасности.
  • Поддержка. Создание механизмов обновления для web-приложений, с учетом уязвимостей, которые обнаруживаются после их написания. При этом web серверы, на которых размещены приложения, также нуждаются в обновлении.
  • Тестирование. Предполагается регулярное проведение аудитов безопасности и тестов на проникновение. В подобных тестах должны участвовать независимые компании, сотрудники которых располагают опытом и богатыми познаниями в области безопасности web-приложений.
Источник: SecurityLab.ru


Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс