ФБР: рейтинг самых уязвимых интернет-приложений
ФБР был опубликован список 20 служб, наиболее критичных с точки зрения безопасности интернет-систем. Данный список содержит по 10 наиболее часто атакуемых служб и приложений для платформ Windows и Unix. Также приводится детальное описание сути проблемы и способов ее решения. Данный "Топ-20" появился в результате сотрудничества экспертов из государственных структур, компаний-разработчиков средств защиты информации, исследователей ряда университетов и таких организаций, как CERN и SANS. Полученный документ предлагает важную информацию к размышлению всем компаниям, использующим глобальные сети для ведения бизнеса. Очевидно, что наиболее уязвим в этом контексте электронный бизнес.Первое место в списке "опасных" служб для платформы Windows занимает Microsoft Internet Information Services (IIS). В частности, указываются три основных типа уязвимости механизмов безопасности IIS:
- неспособность справиться с некорректными http-запросами;
- ошибки переполнения буфера;
- уязвимость устанавливаемых по умолчанию примеров приложений.
Несколько уязвимых мест было также обнаружено в веб-сервере Apache для платформы Unix. В числе прочих приложений, активно используемых в области электронной коммерции и вошедших в "Топ-20", - сервер баз данных MS SQL Server и браузер Internet Explorer (для Windows), а также FTP и почтовый сервер sendmail (для Unix).
Целиком "черный список" для Windows выглядит следующим образом:
- Internet Information Services;
- Microsoft Data Access Components;
- Microsoft SQL Server;
- NETBIOS - незащищенные папки с общим доступом;
- Анонимный доступ (так называемая Null-сессия);
- Аутентификация LAN Manager (из-за нестойкого алгоритма хэширования);
- Аутентификация Windows (допускает учетные записи со слабыми паролями и вообще без паролей);
- Internet Explorer;
- Удаленный доступ к реестру;
- Windows Scripting Host.
Проблемам противодействия преступлениям, совершенным (либо готовящимся) в отношении компании или отдельных сотрудников, обеспечения рабочего взаимодействия служб безопасности компаний-партнеров, обмена информацией - в целях повышения качества и оперативности решения задач, стоящих перед службами безопасности, а также анализа, систематизации и архивирования данных, нарабатываемых службой безопасности в процессе выполнения текущих задач, посвящен учебный курс "Интерпол и бизнес: противодействие и предотвращение преступлений международного характера, направленных против современного бизнеса".
Зарегистрироваться на курс и получить дополнительную информацию можно здесь.
Кроме того, учебные курсы по теме:
Управление информационной безопасностью предприятий.
Анализ рисков информационных систем компании.
Коммерческая тайна и экономическая безопасность бизнеса.
Практическое применение международного стандарта безопасности информационных систем ISO 17799.