Рейтинг уязвимостей при ASV-сканированиях от «Информзащиты»

9/06/2015 10:45

Компания «Информзащита» представила свой новый аналитический отчет по уязвимостям различного класса, выявленным в ходе аудитов ИБ в компаниях разных бизнес-отраслей. Как сообщили в «Информзащите», на этот раз специалисты компании собрали и проанализировали данные по уязвимостям при проведении ASV-сканирований за 2014 г. и первый квартал 2015 г. На основании исследования был составлен топ-10 популярных уязвимостей, наиболее часто встречающихся при проведении ASV-сканирований в банках (51% от общего числа компаний, в которых были выявлены уязвимости в ходе аудитов ИБ), процессинговых центрах (20%), торгово-сервисных предприятиях (20%), платежных шлюзах (7%) и телеком-компаниях (2%). По данным «Информзащиты», наиболее часто встречающиеся уязвимости были обнаружены в устаревших версиях программного обеспечения Apache, Microsoft IIS и Open SSL, а в протоколах IPSec, SSL и Microsoft RDP было выявлено использование слабого шифрования. По словам специалистов компании, частота выявления уязвимостей в данном программном обеспечении обусловлена популярностью их использования. Нередко при первом прохождении ASV-сканирования выявляется доступный извне протокол TELNET. Уязвимости оценивались по системе Common Vulnerability Scoring System (CVSS v2), предназначенной для их классификации по шкале критичности от 0 до 10, где: 0,0 – 3,9 — низкая степень критичности; 4,0 – 6,9 — средняя степень критичности; 7,0 – 10 — высокая степень критичности.
Источник