KPMG: Z firemních webů vede cesta k interním dokumentům

Podle průzkumu KPMG firmy velice často na svých webových stránkách nevědomě poskytují potenciálním útočníkům cenné informace použitelné k efektivnímu útoku. Bezpečnostní audit je namístě.

KPMG: Z firemních webů vede cesta k interním dokumentům



Firmy často opomíjejí na bezpečnost svých veřejně přístupných webových stránek a může jim tak hrozit únik citlivých dat. Vyplývá to z průzkumu Publish and be Damned 2012, který realizovala síť poradenských společností KPMG mezi firmami ze žebříčku Forbes Global 2000.

Podle průzkumu z bezmála 80 % zkoumaných firemních webů lze získat údaje, ke kterým by veřejnost neměla mít přístup. Jak? Prostřednictvím dokumentů, které firmy nabízejí návštěvníkům svých webů ke stažení. Slabým místem jsou zde tzv. metadata, které tyto dokumenty nesou.

Vedle toho, že mohou nevhodně prozrazovat například kontaktní údaje na konkrétní pracovníky, kteří dokument připravovali, rovněž mohou potenciálním útočníkům odhalit slabá místa v zabezpečení. Například poskytnutím informací o používaném softwaru a jeho verzi.

Průzkum přitom ukázal, že 71 % ze zapojených firem používá zastaralé a reálně či potenciálně zranitelné verze operačních systémů i běžných programů jako je třeba textový editor. To je pro potenciálního útočníka cenná informace, protože pak přesně ví, jak má efektivně udeřit.

Firmy a jejich zaměstnanci „ukazují karty“ útočníkům

Nejen v metadatech dokumentů mohou potenciální útočníci najít informace použitelné pro vhodné zacílení útoků. KPMG varuje, že servery, na kterých běží webové stránky firem, v některých případech veřejně poskytují informaci o softwaru, který je pohání.

Informace o použitém softwaru a technologiích také po internetu šíří zaměstnanci firem, když například přispívají do diskusních fór, kde se veřejně či neveřejně uchovávají informace například o používaném operačním systému, webovém prohlížeči a jeho doplňcích.

Z tohoto pohledu jsou nejvíce ohroženy technologické a softwarové společnosti, jejichž zaměstnanci do on-line diskusí a skupin přispívají zdaleka nejvíce,“ uvedl ve zprávě pro média Radek Šichtanc z české pobočky společnosti KPMG.

KPMG též upozorňuje, že z webových stránek firem lze vyčíst, kde jsou uložené neveřejné soubory. „Navigace na webových stránkách firem odhalily množství klíčových slov, s jejichž pomocí experti dokázali detekovat cestu, kde se neveřejné soubory firem nacházejí,“ stojí ve zprávě pro média.

Nástup vládami podporovaných hackerů

KPMG ve zprávě pro média konstatuje, že firmy dnes už nečelí jen útokům ze strany nezávislých skupin nebo prostřednictvím předpřipravených nástrojů.

Hrozbou jsou vládami různých států podporované agentury, které se snaží dostat k citlivým informacím cizích firem, a získat tak konkurenční výhodu nebo cenné informace.

Relativní novinky jsou pak hackeři – aktivisté, kteří též mohou firmám odstavit webové stránky po odcizení a zveřejnění citlivých materiálů.

Mnohé firmy tak mohou potřebovat bezpečnostní analýzu nejen své vnitrofiremní počítačové sítě, ale také svých veřejně přístupných webových stránek a materiálů na nich dostupných.

Podle toho pak lze navrhnout konkrétní ochranné technologie, nástroje a postupy. „Výsledné řešení by mělo vždy reflektovat konkrétní situaci a mělo by být poplatné rizikům, která každá společnost u svého digitálního vlastnictví vnímá,“ uvádí ve zprávě pro média Radek Šichtanc z KPMG s tím, že obecně aplikovatelné řešení, které útokům zcela zamezí, neexistuje. 

Zdroj: KPMG, ChannelWorld








Úvodní foto: © varijanta - Fotolia.com

Komentáře