Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

А вы пользуетесь уязвимыми веб-приложениями?

Вне зависимости от сферы деятельности вашего предприятия вы практически наверняка пользуетесь веб приложениями (см. рис. 1). Большинство из них уязвимы для кибератак. Так, например, более 50% сайтов розничной торговли уязвимы. Среднее количество уязвимостей на одном сайте — 23. из них 13 критические. Примерно половина от этих 23 уязвимостей в итоге будет исправлена. На исправление каждой из них уйдет порядка 200 дней. Исправление ошибок безопасности веб-приложений представляет собой дорогостоящее мероприятие. Потому что для их исправления зачастую приходится переписывать код по всему веб-приложению.

Поэтому поставщики и пользователи веб-приложений придумали более экономичный способ решения проблемы: на одну чашу весов ставится стоимость исправлений, а на другую — насколько велики риски возможных последствий, если эту проблему проигнорировать (в пересчете на возможные убытки). Если убытки от потенциальных последствий оказываются приемлемыми, поставщики веб-приложений и их пользователи предпочитают рисковать.

При этом большинство предприятий полагаются в удовлетворении своих бизнес-потребностей не на одно веб-приложение, а на целый их набор. Причем вне зависимости от того, разрабатываются ли эти веб-приложения самостоятельно, приобретаются ли уже готовые или же их разработка поручается внешнему подрядчику, они всегда по одному и тому же принципу строятся: любой ценой уложиться в давящие сроки. Разработанное по такому принципу веб-приложение интегрируется в корпоративную киберинфраструктуру, ослабляя ее безопасность. И предприятию приходится принимать этот риск.

В результате, среднее количество кибератак на среднестатистическое предприятие через используемые им веб приложения колеблется в пределах 300-800 раз в день. При этом киберзлоумышленники очень оперативно берут на вооружение вновь обнаруженные уязвимости. (Уже через три дня с момента их публикации.) Большинство веб сканеров эффективно справляются с поиском уязвимостей в классических сайтах (с JavaScript и старыми версиями спецификации HTML), но разношерстный набор технологий Web 2.0, который сейчас является стандартом де-факто, им не по зубам. Поэтому 42% из 100тыс. топовых веб-сайтов беззащитны. Они либо ждут своего часа, используя уязвимый софт, либо уже скомпрометированы.

Одна редко обсуждаемая в этой связи проблема заключается в том, что типичный веб-сайт связывается по меньшей мере с 25 сторонними сайтами для получения контента. Например, видеоклипов и таргетированной рекламы.

Большинство корпоративных системных администраторов не имеют инструментов для отслеживания таких подключений, и поэтому их веб-сайты становятся уязвимы для бэкдор-атак.

Кибератакам подвержены абсолютно все типы веб сайтов и веб-приложений начиная с одностраничников и заканчивая увесистыми многофункциональными веб приложениями. В 2016 году около 40% от всех киберинцидентов пришлось на веб-приложения. В отчете Verizon о киберинцидентах за 2017 год указано, что почти 60% киберинцидентов затрагивают веб-приложения.

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.