На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022-2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компаний.

Самые слабые места во внешнем периметре компаний — поддержка протокола TLS версии 1.0/1.1, использование нестойких алгоритмов шифрования в SSL и истечение срока действия сертификата SSL. Эти уязвимости приводят к тому, что канал подключения к удаленному ресурсу, например, web-сайту, будет незащищен, либо современные браузеры буду оповещать пользователей, что ресурс небезопасен, что в итоге может привести к оттоку клиентов.

Также в антирейтинг вошли самоподписанные сертификаты SSL, отсутствие применения заголовка HSTS (RFC 6797), использование в SSL/TLS модуля Диффи-Хеллмана <= 1024 бит (Logjam), подпись SSL-сертификата нестойким алгоритмом хеширования.

Кроме перечисленных уязвимостей, в ТОП-10 вошли такие параметры, как использование неподдерживаемой версии веб-сервера, поддержка слабого набора шифров RC4 и цепочка SSL-сертификатов, которая содержит ключи RSA размером менее 2048 бит.

«Сотрудники службы информационной безопасности могут просто не знать о новых сервисах, развернутых ИТ-подразделением. Для этого необходимо регулярно проводить инвентаризацию внешнего периметра: ежедневно, еженедельно. Уязвимости могут стать как причиной не выстроенного процесса vulnerability management (управления уязвимостями), так и следствием исключения DevSecOps в процессе разработки цифровых сервисов», - комментирует Андрей Макаренко, руководитель отдела развития бизнеса Angara Security.

Среди рекомендаций Angara Security также отмечает использование сервисов непрерывного мониторинга защищенности внешнего периметра. С одной стороны, это позволяет выявлять в режиме реального времени атакуемые цифровые активы, с другой, верифицировать критичность киберугроз по различным показателям в автоматическом режиме.

16.11.2023

Другие публикации

Angara Security заняла 11 место в рейтинге работодателей

В ежегодном рейтинге работодателей HH.ru Angara Security заняла 11 место. Общий индекс организации в 2024 году – 113,4.

актуально

30.01.2025

Angara SOC предупреждает: мошенники рассылают письма с информацией о взносе «на нужды СВО»

В России зафиксированы случаи получения пользователями писем якобы от банков с информацией, что с клиентов финансовых организаций будут ежемесячно списывать деньги на нужды военной операции на Украине

актуально

27.01.2025

Платформа «Вебмониторэкс» получила сертификат соответствия требованиям ФСТЭК России

Комплексное средство защиты веб-приложений и API от российского разработчика Вебмониторэкс подтвердило соответствие требованиям, предъявляемым к межсетевым экранам уровня приложений.

актуально

24.01.2025

Angara Security улучшила свои позиции в рейтинге отечественных вендоров

Компания Angara Security уверенно входит в топ-30 отечественных вендоров и интеграторов

актуально
рекомендации

21.01.2025

Остались вопросы?

Понравилась новость?

Подпишитесь на уведомления о новых материалах