Опубликован отчет о состоянии безопасности приложений компаний из списка FT 1000

Специалисты швейцарской компании High-Tech Bridge провели масштабное исследование, в рамках которого изучили уровень безопасности web- и мобильных приложений, используемых крупнейшими компаниями из списка Financial Times 1000 (500 американских и 500 европейских предприятий). Исследователи обращали внимание на следующие аспекты: внешний доступ к приложениям, использование SSL/TLS шифрования, соответствие стандартам PCI DSS и GDPR, применение недействительных SSL сертификатов, обеспечение безопасности web-серверов и пр.

Согласно отчету, 293 512 внешних систем компаний из США доступны через интернет, 42 549 из них включают активные web-приложения с динамическим контентом и функциональностью. Доступ через интернет открыт к 112 750 системам европейских предприятий, из них 22 162 включают активные web-приложения с динамическим контентом и функциональностью. То есть, в среднем у одной американской компании имеется 85,1 приложений, к которым можно легко получить доступ через Сеть, причем они не защищены двухфакторной аутентификацией или иными защитными механизмами, направленными на снижение риска доступа третьих сторон. В ситуации с европейскими компаниями данный показатель составляет 44,3 приложения (на одну компанию).

В категории реализации SSL/TLS шифрования на web-серверах 48,81% американских компаний получили высшую оценку, 32,21% организаций - низкую. Кроме того, 7,82% компаний продолжают использовать уязвимый протокол SSLv3. У европейских компаний ситуация немного лучше: 62,4% получили высшую оценку, а низкую - 16,02%, протокол SSLv3 используют 5,15% компаний. Отмечается, что 35,2% американских компаний имеют по меньшей мере два сервера, содержащих уязвимость, которая позволяет перехватить и расшифровать HTTPS-трафик. В случае европейских компаний число таких фирм составило 24%.

Согласно отчету, конфигурация серверов соответствует стандарту PCI DSS 3.2.1 только у 16,4% американских компаний и 14,7% европейских. Кроме того, 45,1% предприятий в США используют недействительные SSL-сертификаты, среди европейских организаций этот показатель составил 28,9%.

Исследователи также отметили низкий уровень безопасности web-серверов большинства американских и европейских компаний (76,9% и 77,4% соответственно).

Как показало исследование, 8% американских компаний и 15,8% европейских используют стороннее программное обеспечение, которое либо уже устарело, либо содержит по меньшей мере одну известную уязвимость или может применяться для взлома web-приложения. Кроме того, подавляющее большинство американских и европейских компаний (98,4% и 98,1% соответственно) либо вовсе не используют межсетевые экраны, либо настраивают их ненадлежащим образом.

Также оказалось, что только 9% компаний с web-сайтами, использующими активные формы, обновили политику конфиденциальности в соответствии с нормами Общего регламента по защите данных ЕС (General Data Protection Regulation, GDPR), вступившего в силу 25 мая нынешнего года. У европейских компаний ситуация не намного лучше - политику конфиденциальности обновили только 21% организаций.

Более подробно с результатами исследования можно ознакомиться здесь .

Источник