Angara Security составила ТОП-10 уязвимостей внешнего периметра российских компаний

2573

На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022–2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компаний.

 Самые слабые места во внешнем периметре компаний — поддержка протокола TLS версии 1.0/1.1, использование нестойких алгоритмов шифрования в SSL и истечение срока действия сертификата SSL. Эти уязвимости приводят к тому, что канал подключения к удаленному ресурсу, например, web-сайту, будет незащищен, либо современные браузеры будут оповещать пользователей, что ресурс небезопасен, что в итоге может привести к оттоку клиентов.

 Также в антирейтинг вошли самоподписанные сертификаты SSL, отсутствие применения заголовка HSTS (RFC 6797), использование в SSL/TLS модуля Диффи-Хеллмана <= 1024 бит (Logjam), подпись SSL-сертификата нестойким алгоритмом хеширования.

 Кроме перечисленных уязвимостей в топ-10 вошли такие параметры, как использование неподдерживаемой версии веб-сервера, поддержка слабого набора шифров RC4 и цепочка SSL-сертификатов, которая содержит ключи RSA размером менее 2048 бит.

 «Сотрудники службы информационной безопасности могут просто не знать о новых сервисах, развернутых ИТ-подразделением. Для этого необходимо регулярно проводить инвентаризацию внешнего периметра: ежедневно, еженедельно. Уязвимости могут стать как причиной невыстроенного процесса vulnerability management (управления уязвимостями), так и следствием исключения DevSecOps в процессе разработки цифровых сервисов», — комментирует Андрей Макаренко, руководитель отдела развития бизнеса Angara Security.

Среди рекомендаций Angara Security также отмечает использование сервисов непрерывного мониторинга защищенности внешнего периметра. С одной стороны, это позволяет выявлять в режиме реального времени атакуемые цифровые активы, с другой, верифицировать критичность киберугроз по различным показателям в автоматическом режиме.

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление (роль)
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.