PT Research Lab компании Positive Technologies выпустила ежегодный отчет по статистике уязвимостей веб-приложений за 2009 г.

Positive Technologies проанализировала уязвимости веб-приложений

Исследование PT Research Lab, подразделения компании Positive Technologies показывают, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Подтверждением этого тезиса является многолетняя статистика уязвимостей безопасности веб-приложений, публикуемая компанией.

В этом году были проанализированы данные о 5560 веб-приложениях, протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как: тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS  и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.

Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов, распространявших вредоносное программное обеспечение, составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы.

Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных веб-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».

Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «межсайтовое выполнение сценариев» и «внедрение операторов SQL», на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.

С точки зрения соответствия требованиям регуляторов (compliance management), ситуация улучшилась незначительно. До 84% веб-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт PCI DSS, и 81% не соответствует критериям ASV-сканирования, определенного в стандарте.

Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 г. в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах, проверявшихся в 2008 и 2009 г., показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсов. В целом, регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.

По словам эксперта по информационной безопасности Positive Technologies Дмитрия Евтеева, в этом году, несмотря на развитие методов атак, «щит пересилил меч». Развитие систем контроля защищённости, безопасных платформ и средств разработки, проактивных средств защиты и межсетевых экранов уровня приложения (Web Application Firewall) начинает приносить свои плоды. Однако, как и раньше, большая часть уязвимостей приходится на ошибки администрирования и могла быть устранена использованием безопасных конфигураций систем и приложений и использованием базовых функций защиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Платформа Сфера теперь доступна в формате SaaS

На ежегодной конференции «НОТА ДЕНЬ» ИТ-холдинг Т1 представил SaaS-версию своей платформы «Сфера». Новая модель не требует локальной установки — для работы достаточно веб-браузера, а все обновления и вопросы безопасности находятся в зоне ответственности разработчика.

Функционально SaaS-версия не отличается от других вариантов развертывания платформы. В её состав входят следующие модули:

  • Сфера.Задачи — инструмент для управления проектами, задачами, статусами и отчетностью;
  • Сфера.Знания — централизованная база знаний с гибкой системой разграничения доступа;
  • Сфера.Код — репозиторий исходного кода с функциями ревью, контроля изменений и истории;
  • Сфера.Дистрибуция и лицензии — модуль для управления релизами, сборками и лицензиями.

Платформа размещена как на инфраструктуре холдинга Т1, так и на мощностях сторонних центров обработки данных. Все используемые площадки соответствуют требованиям российского законодательства, включая нормы по защите персональных данных. Обеспечивается шифрование данных на всех уровнях, аудит пользовательской активности, разграничение прав на основе ролевой модели и регулярное резервное копирование.

Платформа поддерживает интеграции с корпоративными системами через REST API и Webhooks. Также реализованы коннекторы к инструментам CI/CD и внутренним системам трекинга задач. Предусмотрен импорт данных из популярных решений, таких как Jira, GitHub, Confluence и SVN.

Как отмечает руководитель производственного блока вендора НОТА Юрий Мацыгин, SaaS-модель предназначена для компаний, которые не располагают собственной ИТ-инфраструктурой, но заинтересованы в использовании инструментов платформы. Такой подход позволяет упростить запуск, обеспечить масштабируемость и снизить издержки на внедрение, при этом ускоряя вывод цифровых продуктов на рынок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru