Лучшие статьи и кейсы стартапов
Включить уведомления
Дадим сигнал, когда появится
что-то суперстоящее.
Спасибо, не надо
Вопросы Проекты Вакансии
Лаборатория кибербезопасности из Санкт-Петербурга.
Рекомендуем
Продвинуть свой проект
Лучшие проекты за неделю
32
Битрикс24

Битрикс24

www.bitrix24.ru

23
Отследить-посылку

Отследить-посылку

отследить-посылку.рф

13
WebResidentTeam

WebResidentTeam

webresident.agency

13
Логомашина

Логомашина

logomachine.ru

12
Devicerra

Devicerra

devicerra.com

12
Perezvoni.com

Perezvoni.com

perezvoni.com

11
Expresso

Expresso

www.expresso.today

11
Reader

Reader

Интернет-журнал о современных технологиях.

9
ADN Digital Studio

ADN Digital Studio

adn.agency

9
Aword

Aword

Приложение для изучения английских слов

Показать следующие
Рейтинг проектов
Подписывайтесь на Спарк во ВКонтакте

Небольшая аналитика сайтов из сферы здравоохранения

75 0 В избранное Сохранено
Авторизуйтесь
Вход с паролем
Привет, мир! Как и обещали, продолжаем делиться с вами некоторыми накопленными данными. Сегодня мы предлагаем вам посмотреть на статистику безопасности сайтов в индустрии здоровья.

Мы провели сканирование 1600 сайтов из отрасли здравоохранения. Практически все исследуемые сайты были сайтами частных клиник. Аудит мы проводили по методу BlackBox - то есть мы не знали и не знаем конфигурацию сервера, аппаратное и программное обеспечение, а следовательно, не получаем доступа к конфиденциальным данным.

И вот какие данные мы получили:

b_55cca833d1437.jpg

Обследуемые сайты содержали 22,4 тысячи уязвимостей. Обращаем ваше внимание, что речь идёт не об уникальных уязвимостях, а о найденных ошибках вообще.

На следующем графике изображены наиболее часто встречающиеся ошибки. В этот список попали ошибки, встречающиеся на более чем 300 сайтах.

Наиболее распространённые ошибкиb_55cca96f19124.jpg

Из данного графика сразу видно, что сисадмины не беспокоятся об обновлении программного обеспечения, не держат его в актуальной версии. На многих исследуемых серверах обнаружены версии PHP 5.3, 5.2, хотя актуальная версия - 5.6. Несерьезное отношение к обновлению ПО - очень распространённая проблема. Новые версии могут не содержать принципиально новых фич, но в них устранены уязвимости, обнаруженные в старых версиях, которые уже известны злоумышленникам, которые они уже умеют использовать. Вот почему важно держать ПО в актуальных версиях.

В свою очередь, видно, что многие не уделяют должного внимания настройкам веб-серверов. Например, на определённых обследуемых сайтах обнаружены файлы резервного копирования или присутствовала возможность просмотреть содержание некоторых веб директорий, не предназначенные для просмотра посетителем сайта. Это чревато тем, что злоумышленник может достать из них ключи или дамп базы данных, в случае если они находятся в файлах бэкапа.

Всё это в комплексе приводит к плачевным результатам.

Если мы отфильтруем все эти ошибки по уровню критичности (мы используем шкалу CVSS), то есть откинем все ошибки ниже Medium уровня и оставим только ошибки уровней High и Critical соответственно, то получим следующую картину.

Основные критические ошибки

b_55cca9bfd873c.jpg

Как мы видим все эти ошибки связаны с использованием неактуальной версией PHP. Уязвимости в неактуальных версиях PHP позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

Последние данные, которыми бы хотелось поделиться - распределение обнаруженных ошибок по уровню критичности.

Уровень критичности ошибок

b_55cca9f5a3f52.jpg

Как видно, у трети исследуемых сайтов обнаружены уязвимости критичного уровня. Это в очередной раз доказывает гипотезу о том, что большинство российских сайтов не уделяют вопросу информационной безопасности должного внимания.

Спасибо за внимание, друзья. Пишите в комментах чего вам не хватило в данном обзоре, и мы обязательно это учтём в следующих постах.

0
Комментариев еще не оставлено
Выбрать файл
Читайте далее
Загружаем…
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать