Перейти на Sec.Ru
Рейтинг@Mail.ru

07 ноября 2014

Искусственный интеллект на страже информационной безопасности

8 октября в Москве прошла конференция «Искусственный интеллект против кибератак: новые технологии защиты бизнес-приложений», посвященную тенденциям средств защиты корпоративных приложений и интернет-порталов.

На конференции были представлены:

  • результаты исследований, посвященных безопасности информационных инфраструктур и приложений крупных компаний и государственных организаций;
  • обзор ключевых мировых тенденций в области безопасности приложений;
  • результаты анализа эффективности систем анализа исходных кодов и специализированных межсетевых экранов прикладного уровня;
  • продукты нового поколения, разработанные компанией «Positive Technologies» с использованием решений в области искусственного интеллекта.

Согласно данным Positive Technologies среди сервисов интернет-банкинга и порталов государственных услуг, за 9 месяцев 2014 года, 77% сайтов содержат критические уязвимости, а в случае использования технологии PHP этот показатель достигает 100%. Среди них уязвимости среднего уровня опасности содержат 92% сайтов, а 88% – уязвимости с низким риском реализации.

Среди распространенных уязвимостей именуется «межсайтовый скриптинг». Она характеризуется степенью средней опасности и заключается во внедрении в веб-страницу вредоносного кода. Пользователь получает ссылку, при переходе по которой запускается вредоносный код. Межсайтовому скриптингу подвержены 72% ресурсов.

Последние несколько лет увеличиваются число SQL-инъекций – атак осуществляемых с целью извлечения данных или захвата удаленного хоста. Они позволяют злоумышленникам прочитать, удалить, изменить или добавить информацию веб-ресурса. Такой опасности подвержены 62% сайтов, что на 19% больше чем в предыдущем году. Среди наиболее распространенных уязвимостей это единственная, имеющая уровень «критическая».

Вторая по популярности критическая уязвимость XML eXternal Entity, которая в этом году не попала в топ 10 из-за роста других проблем в безопасности. В этом году такие уязвимости были обнаружены на 18% сайтов. В данном случае злоумышленники получают доступ к защищенным файлам за счет уязвимостей языка разметки XML, широко применяемого в веб-приложениях.

Не стоит забывать, что комбинации уязвимостей не самого высокого уровня могут носить критический характер. В практике дистанционного банковского обслуживания был случай, когда злоумышленники воспользовались уязвимостью класса XSS для рассылки ссылок клиентам. Ошибка позволяла не отправлять ответное сообщение с SMS-кодом. В результате хакеры сформировали ссылку, при переходе по которой со счета пользователя автоматически списывались средства.

В первой группе риска находится банковский сектор, которому необходимо защитить финансовые данные клиентов и обеспечить безопасность онлайн транзакций. Финансовые компании осознают опасность, но далеко не всегда могут обеспечить защиту. Согласно данным Positive Technologies при тестировании на проникновение финансовых систем 67% имеют критические уязвимости, а в 30% обнаружены ошибки кода среднего уровня риска.

Ко второй группе относятся учреждения государственного сектора. Здесь статистика не столь печальная и определяется тем, что чиновники только в крайнем случае привлекают специалистов по информационной безопасности. Кроме того, законодательно не закреплены требования по проверке приложений на государственных предприятиях.

Третью группу риска составляют предприятия топливно-энергетического сектора. Системы таких компаний носят информативный характер, а отношения с клиентами и партнерами осуществляются в режиме офлайн. И все же часто публикуется информация о поставщиках и клиентах, обрабатываемая системами управления взаимоотношениями с поставщиками и клиентами. Кроме того, примерно в 30% случаев через сайт можно проникнуть во внутреннюю сеть предприятия и получить доступ к автоматизированным средствам управления технологическим оборудованием на промышленных предприятиях.

Актуальность информационной безопасности в государственном секторе, банковской сфере и топливно-энергетическом секторе усиливается проблемой импортозамещения. Системное программное и аппаратное обеспечение может содержать незадекларированные возможности для проведения атак. Таким образом, перед специалистами по информационной безопасности возникает дилемма – как собрать защищенную систему из небезопасных элементов?

На сегодняшний день основное направление разработки средств информационной безопасности, который отмечают в Positive Technologies, – это создание автоматически работающих продуктов, которые сводят к минимуму участие человека.

Просмотров: 677

Ссылки по теме

Positive Technologies

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru