43% кибератак на российский бизнес происходят через корпоративные веб-приложения. Об этом пишет «Телеспутник» со ссылкой на центр исследований киберугроз Solar 4RAYS.
Как сообщили в ГК «Солар», зачастую организации недооценивают значимость так именуемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другой распространенной ошибкой эксперты назвали - невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя.
В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или удаляют за счет дополнительных средств защиты, отметили в компании.
Эксперты Solar appScreener пояснили, что до 90% программного кода состоит из готовых open-source компонентов, и в большей части внутри них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.
Другой проблемой, если верить словам аналитиков «Солар», будет то, что многие компании творят веб-версии и мобильные приложения на одном и этом же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако при таком подходе под угрозу ставится безопасность.
Фото: Freepik.com