Проблема уязвимости веб-ресурсов и приложений

03.08.2016

Компания Positive Technologies не первый год занимается исследованиями в направление защищенности онлайн-ресурсов. С мнение его специалистов привыкли считаться. Недавние выводы экспертов пролили свет на проблематичность вопроса обеспечения безопасности онлайн-площадок. Особенно плачевное состояние, по словам представителей компании, создалось в последнее время. Не утешительный вердикт гласит, что защитные механизмы 70% веб-сайтов не выдерживают никакой критики. Особенно грешат онлайн-приложения, разработанные на основе сильно разрекламированного Java. Значительно возросли риски и при работе с ресурсами, созданными на основе не менее популярного сервера Microsoft IIS. Была подмечена тенденция, что функция ручной проверки крайне неэффективно выявляет изъяны системы защиты и необходимо прибегнуть к активации опции автоматизированной проверки.

 

Методы анализа, применяемые в исследованиях Positive Technologies

Известная компания, как правило, производит в течение года всестороннюю проверку не меньше 200 веб-ресурсов. Особенно тщательно были изучены 30 приложений. Большинство ресурсов, изученных в прошлом году (почти 45%), были разработаны на основе платформы Java. В сферу интереса попали также аналоги, в основу которого лежит технология PHP (треть от общего числа исследуемых ресурсов). Объекты исследования работали на разных популярных серверах, таких, как, Майкрософт IIS, Ngix, Apache и другие.

 Распространенные виды уязвимости

Как ни печально, но полностью защищенных приложений, так и не удалось обнаружить. Более того, больше 2/3 ресурсов находятся в зоне критического показателя риска. Они не способны выдержать любой, более или менее хорошо запланированной хакерской атаки. 80%  от общего числа имеют статус «Средняя уровень риска», который позволяет опытному программисту, без спроса «заразить» персональное устройство или гаджет жертвы вредоносным ПО. Особенно часто, после этого применяются фишинговые атаки, позволяющие завладевать личными и платежными данными конкретного пользователя.
Второй по популярности вид уязвимости — это утечка информации. Мошенничеству подобного вида не может противостоять почти половина веб-приложений (47%). Онлайн-мошенники без особого труда могут завладеть файлами, расположенными на отдельных серверах.

Новые тенденции

Почему-то принято считать, что Java, сильнее своего непосредственного конкурента PHP. Последние исследования показали, что, на самом деле, преимущество перешло к менее популярному ресурсу. Приложения, разработанные на его основе, на 13—14% меньше подвержены критическим видам уязвимости. Средний коэффициент уязвимости веб-ресурсов, функционирующих на платформе Java, составляет примерно 10,5 на 1,4 пункта выше аналогичных показателей конкурента.


Проблемы с Microsoft IIS

Некогда славящаяся неуязвимостью платформа Microsoft IIS, тоже попала в черный список. По сравнению с 2013—2014 годами она достигла критического уровня. Несколько улучшили показатели Ngix и Apache, но они все-таки далеки от желаемых.

А что с веб-приложениями банковских структур?
Неискушенный читатель вполне может задаться вопросом: причем тут банки? Между тем проблема непосредственно касается защищенности денежных переводов и сохранности сбережений клиентов популярных финансово-кредитных институтов. Неутешительный вердикт, вынесенный специалистами Positive Technologies, гласит — практический на всех сайтах банков обнаружены уязвимости, граничащие с критичной чертой. Не лучше обстоят дела и в направлении информационно-вычислительных технологий.

Специалисты Positive Technologies подчеркивают необходимость проведения постоянного мониторинга защищенности веб-ресурсов финансовыми организациями. Он должен осуществляться на всех стадиях, начиная с фазы разработки. Необходимо усовершенствовать механизмы защиты уже запущенных веб-приложений. Особенное внимание следует обратить на применение так называемых межсетевых экранов, определяющих уровень уязвимости приложений.