У всех ведущих страховых компаний Европы есть проблемы с безопасностью приложений

Cloud Networks > Новости > У всех ведущих страховых компаний Европы есть проблемы с безопасностью приложений
13.07.2021

У всех ведущих страховых компаний Европы есть проблемы с безопасностью приложений

Согласно последнему исследованию Outpost24, у ведущих страховых компаний Европы были обнаружены слабые места в безопасности в архитектуре своих веб-приложений.

В  отчете о безопасности веб-приложений для страховщиков за 2021 год были проанализированы веб-приложения 10 ведущих европейских страховых компаний, перечисленных в рейтинге ADV Rating. Было обнаружено, что у всех страховщиков была определенная степень уязвимости или слабых мест в системе безопасности.

Основные тезисы исследования таковы:

  • Фактически, ведущие страховщики ЕС запускают в общей сложности 7611 веб-приложений, доступных в Интернете, в 1920 доменах, при этом 3% из них считаются подозрительными (например, тестовые среды).
  • Почти каждое четвертое (23%) идентифицированных приложений использует старые компоненты, содержащие известные уязвимости, которые могут быть использованы. А ведь веб-приложения остаются самым большим источником утечки данных.

Страховые компании в последнее время подвергаются интенсивным атакам со стороны хакеров. Например, недавно произошла атака программ-вымогателей, которая привела к утечке конфиденциальных данных AXA 3 ТБ и US CNA Financial, из-за чего компании вынуждены были заплатить 40 миллионов долларов, чтобы восстановить контроль над сетью.

Для страховых компаний сейчас лучшее время для изучения поверхности атаки своих приложений, особенно в отношении наиболее распространенных векторов атак, с помощью агрегированной оценки рисков.

Это позволяет командам и разработчикам страховой безопасности сравнивать и тестировать поверхности своих атак и предпринимать необходимые шаги для снижения угроз в своих приложениях.

Из рассмотренных критериев были выделены основные вектора атаки:

  1. Разработка веб-сайтов с небезопасным кодом или устаревшим программным обеспечением увеличивает риски потенциальных уязвимостей для использования хакерами.
  2. Степень распространения (чем больше у вас страниц, тем больше рисков), все страницы должны быть идентифицированы, а уязвимости кода обнаружены на всех уровнях.
  3. Активное содержимое — когда приложение запускает сценарии, содержимое становится активным, и в зависимости от способа реализации этих сценариев поверхность атаки может увеличиться, если веб-сайт был разработан с использованием уязвимых технологий активного содержимого.

Метод создания страницы зависит от кода, в котором было разработано веб-приложение.

В отчете также освещается ряд других проблем с безопасностью и соответствием, включая базовые дефекты SSL, согласия на использование файлов cookie и политики конфиденциальности.

Стефан Конарковски, консультант по безопасности из Outpost24, прокомментировал:

«По мере увеличения количества атак, направленных на страховые компании, ключевую роль играет прозрачность. Для профессионалов страховой безопасности важно иметь постоянное представление о своем цифровом следе и поверхности атаки, поскольку очень часто они не знают, сколько публичных веб-приложений существует и их состояние безопасности».

В этом исследовании Outpost24 проанализировал, как секторы справляются с безопасностью приложений:

  • У ведущих страховщиков ЕС средний показатель поверхности атаки составляет 38,10 (из 58,24).
  • У интернет-магазинов — 42,37.
  • У кредитных союзов — 16,39.
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
to-top