Хакер #305. Многошаговые SQL-инъекции
Согласно новому исследованию, опубликованному RedSeal Systems и Dimensional
Research, сейчас, более чем когда-либо, профессионалы в области безопасности
чувствуют превосходство со стороны атакующих и уровня их автоматизации,
задействованной в большинстве хакерских кампаний против IT инфраструктур
предприятий.
В ходе интервью, взятых у 1967 профессионалов в области безопасности и
управления сетями, выяснилось, что более 75% из них уверены, что
автоматизированные инструменты дают хакерам преимущества в уклонении от систем
защиты, которые используются большинством предприятий для защиты их критически
важных активов и данных.
Дальше – больше. Подавляющее большинство опрошенных профессионалов сказали,
что их работодатели, которыми чаще всего являются крупные организации, не могут
обеспечить необходимый уровень защиты из-за их неспособности определить, где в
их системах находятся дыры.
Среди главных данных исследования:
- более 71% опрошенных признали, что их сети подвергаются внешним угрозам
из-за проблем неправильной конфигурации, присутствующих в инфраструктуре
устройств безопасности; - более 50% опрошенных не имели понятия о том, сколько внутренних хостов
их организаций были "выставлены" в интернет; - приблизительно 52% признали, что их инициативы контроля за уязвимостями
не позволяют им расположить методы исправления по приоритетам, основываясь
на вероятности реальных атак.
Более 50% опрошенных являются людьми, ответственными за сети, содержащие 100
и более устройств. Это говорит о том, что размеры и масштабы современной
инфраструктуры не позволяют организациям должным образом обеспечивать защиту.
И хотя многие предписания безопасности и лидеры отрасли давно советуют
организациям использовать более метрический подход, лишь 47% сказали, что их
работодатели следуют этим советам.
"Еще более удивительным, чем царящее среди сегодняшних профессионалов
ощущения того, что у хакеров над ними преимущество, является то, что лишь
немногие из них имеют доступ к метрике, показывающей, насколько хорошо работает
инфраструктура безопасности", - сказал Дэвид Герингер, старший аналитик компании
Dimensional Research. "Цифры означают, что работники искренне озабоченны тем,
что у них нет достаточного количества инструментов и информации, необходимой,
чтобы остановить угрозы, с которыми сталкиваются их организации".
Среди других ключевых данных, полученных в результате исследования, находятся
следующие:
- Около 86% работников энергетических компаний считают, что у хакеров
имеются более продвинутый инструментарий. Далее следуют правительственные
работники, у них 84%. 79% у работников телекоммуникационных компаний. 71% у
работников медицинских учреждений, и у работников сферы финансовых услуг
-70%. - 51% директоров по информационной безопасности не верят, или не знают,
что инструменты для оценки уязвимостей обеспечивают то количество
информации, которое необходимо, чтобы идентифицировать важнейшие риски для
систем безопасности. - 56% директоров по информационной безопасности сказали, что у них либо
нет эффективных способов измерения эффективности работы систем безопасности,
либо они вообще не знают об их существовании; 55% работников управления
сетью сделали такие же признания.
"Последовательное применение контроля сетевой безопасности превзошло
человеческие возможности", - сказал доктор Майк Ллойд, главный технический
директор RedSeal. "Уже много лет существует такое понятие, как гонка вооружений
между профессионалами IT безопасности и атакующими; это исследование показало,
что хорошие парни знают, как нелегко им придется".