Открытые уязвимые места, информация о которых уже стала достоянием общественности, чаще всего встречаются на веб-сайтах образовательных учреждений и социальных сетей. А лучше других дела в этой области обстоят у организаций здравоохранения и банков. Таковы результаты исследования, опубликованные компанией WhiteHat Security.
В 11-м ежегодном отчете Web Site Security Statistics Report утверждается, что у 71% школ на веб-серверах постоянно присутствуют программные уязвимости. То же самое можно сказать и про 58% сайтов социальных сетей. А вот в медицинских учреждениях и банках уязвимые места встречаются лишь соответственно в 14 и 16% случаев. Средний же показатель для делового сектора составляет 44%.
Что думают по этому поводу аудиторы безопасности?
С результатом 51% банки заняли первое место среди организаций, у которых уязвимости встречаются не более 30 дней в году. На втором месте с результатом 22% расположились финансовые организации. Средний показатель равен 16%. Данные WhiteHat основываются на результатах анализа 400 предприятий, передавших этой компании функции контроля за уязвимостью своих веб-сайтов.
В банках в течение года регистрируется в среднем 30 уязвимостей. В среднем же во всех секторах бизнеса за год было выявлено 230 уязвимостей. Самое большое количество уязвимых мест (404) возникает на предприятиях розничной торговли.
В 2010 году ни одна отрасль не смогла похвастаться показателями, близкими к нулю, говорится в отчете. Наилучшие результаты были продемонстрированы в банковском секторе, в области здравоохранения и в производственной сфере. В среднем здесь регистрировалось соответственно 30, 33 и 35 уязвимостей в течение года или 2,5 уязвимости в месяц. На другой стороне спектра находятся предприятия розничной торговли, финансовых и телекоммуникационных услуг, здесь за год фиксируется 404, 266 и 215 серьезных уязвимостей. Таким образом, ежемесячно в этих организациях появляется от 18 до 34 уязвимых мест.
Впрочем, между количеством выявленных уязвимостей и вероятностью совершения атак нет прямой связи. Некоторые уязвимости проявляются чаще других. К примеру, вероятность утечки информации и проведения атаки через межсайтовый скриптинг составляет 64%. На третьем месте находится вероятность несанкционированного прослушивания информации (43%).
Кроме того, в первую десятку входят: подделка межсайтовых запросов, атаки методом грубого взлома или полным перебором, недостаточная авторизация, предсказуемое расположение ресурсов, внедрение SQL-кода, фиксация сессии и злоупотребление функциональными возможностями.
Главным условием обеспечения безопасности сайта является устранение уязвимостей сразу после их обнаружения. В этом отношении впереди всех находятся банки. Половина уязвимостей устраняется здесь в течение 13 дней. Хуже других дела обстоят у телекоммуникационных компаний, где на устранение половины уязвимостей уходит 205 дней. Средний показатель для всех предприятий составляет 116 дней. "С точки зрения управления рисками, если организация не подвергается целевым атакам, хорошим результатом будет демонстрация уровня выше среднего по отрасли, – считают авторы отчета. – Если же атаки ведутся целенаправленно, все недостатки необходимо устранять как можно быстрее".