Frost & Sallivan: необходимо пересмотреть подходы к защите современных web-приложений

Руководитель отдела консультаций по информационным и коммуникационным технологиям компании Frost & Sallivan Александр Майкл (Alexander Michael) опубликовал интересную заметку о современной безопасности web-приложений.

По словам эксперта, современные системы защиты web-приложений являются настолько низко защищенными, что даже оценить этот вопрос очень непросто. В интернете существуют огромные рынки, на которых продается все, что может теоретически заинтересовать взломщика. На этих рынках можно купить конфиденциальную информацию (пароли, номера социального страхования, адреса электронной почты и пр), эксплоиты и готовые вирусы.

Майкл привел несколько примеров крупных инцидентов безопасности, которые имели очень большое влияние. Среди этих примеров был взлом одной из рабочих станций cPanel, который мог повлечь за собой утечку очень большого количества данных, обнаружение эксплоита для уязвимости системы управления контентом Plesk, взлом учетной записи Twitter информационного агентства Associated Press, повлекший за собой падение индекса Dow Jones на 150 пунктов, а также прошлогодняя утечка хешей паролей социальной сети LinkedIn.

«Часто web-сайты являются открытой дверью в IT-инфраструктуру компании, в том числе в корпоративную почту… Во многих случаях компрометация web-сайта ведет к утечке адресов электронной почты и многих других важных данных. Целые архивы адресов электронной почты могут быть похищены, и кто-то может посчитать это безвредным ввиду давности информации, однако с помощью полученных адресов можно восстанавливать пароли к сторонним ресурсам, таким как социальные сети и интернет банки, что влечет за себе безмерное количество новых атак», - рассуждает аналитик.

Вопрос безопасности web-приложений, по мнению Майкла, в ближайшие годы будет решаться в пространстве устранения уязвимостей. Именно поэтому в 2011 году Frost & Sallivan выдала VUPEN награду Entrepreneurial Company за то, как она предоставляла свежие и надежные данные об уязвимостях лидерам рынка информационной безопасности.

Интерес к созданию бюджетного механизма для поиска уязвимостей в web-приложениях, ориентируемых на малый и средний бизнес наблюдается сегодня среди различных компаний. Компания High-Tech Bridge объявила о выпуске гибридного решения (сканер+аудитор) в декабре прошлого года, а в этом месяце сразу две компании анонсировали подобную услугу - Qualys (только сканер без аудитора) и Trend Micro (решение должно быть готово в 2014 году).

«Организации должны понять, что web-сайты, это не просто страницы в интернете. Предприятия в очень серьёзной мере зависят от web-сайтов, и их компрометация может очень быстро уничтожить здоровый бизнес. Безопасность должна стать интегрированной частью всего, что мы делаем», - говорится в заметке эксперта.