Итак, топ-5 лист киберуязвимостей по версии InfoSec Institute.
Вредоносные инъекции. Наиболее часто для них используются программные уязвимости в SQL, LDAP, XPath, XML.
Переполнение буфера. Как и вредоносные инъекции, эта уязвимость связана с пренебрежением со стороны программистов вопросами ИБ в процессе разработки. Тема безопасной разработки ПО, как видим, по-прежнему актуальна, хотя лидирующие компании-разработчики ПО уже несколько лет как внедрили у себя процессы поддержки ИБ на протяжении всего жизненного цикла ПО, а на рынке появляется все больше инструментов для обнаружения ИБ-уязвимостей в готовых программах.
Компрометация конфиденциальных данных. Причины – неверная классификация данных (т.е. неумение определить внутри компании, какие данные для нее являются конфиденциальными) и неправильная организация их защиты в процессе хранения и передачи. Эксперты из InfoSec Institute особое внимание обращают на слабые алгоритмы шифрования и управление ключами шифрования, особенно для мобильных и облачных решений.
Ошибки при аутентификация и в управлении доступом. Несмотря на то, что ИБ начинается именно с управления доступом и на практике применяется всегда (хотя бы в виде ограничения физического доступа к ресурсам организационными мерами), задачи управления доступом усложняются по мере лавинообразного усложнения ИКТ-инфраструктуры, и признать, что решаются они адекватно, как видим, сегодня нельзя.
Ошибки в конфигурации системы обеспечения корпоративной ИБ. В числе наиболее часто встречающихся ошибок специалисты InfoSec Institute отмечают несвоевременное обновление ПО; запуск приложений в эксплуатацию, не удаляя из них отладочные модули; запуск ненужных сервисов; эксплуатацию оборудования и приложений с фабричными конфигурационными установками; ошибки в управлении нештатными ситуациями.
Вроде бы, все банально, и как защищаться от каждого из этих видов угроз известно (например, для снижения первых двух нужно активнее использовать средства безопасной разработки программ и поиска уязвимостей в них). Однако по мнению искушенных экспертов из InfoSec Institute эти угрозы по-прежнему опасны.