KPMG: Z firemních webů vede cesta k interním dokumentům

1. 3. 2013
Doba čtení: 3 minuty

Sdílet

 Autor: © varijanta - Fotolia.com
Podle průzkumu KPMG firmy velice často na svých webových stránkách nevědomě poskytují potenciálním útočníkům cenné informace použitelné k efektivnímu útoku. Bezpečnostní audit je namístě.

Firmy často opomíjejí na bezpečnost svých veřejně přístupných webových stránek a může jim tak hrozit únik citlivých dat. Vyplývá to z průzkumu Publish and be Damned 2012, který realizovala síť poradenských společností KPMG mezi firmami ze žebříčku Forbes Global 2000.

Podle průzkumu z bezmála 80 % zkoumaných firemních webů lze získat údaje, ke kterým by veřejnost neměla mít přístup. Jak? Prostřednictvím dokumentů, které firmy nabízejí návštěvníkům svých webů ke stažení. Slabým místem jsou zde tzv. metadata, které tyto dokumenty nesou.

Vedle toho, že mohou nevhodně prozrazovat například kontaktní údaje na konkrétní pracovníky, kteří dokument připravovali, rovněž mohou potenciálním útočníkům odhalit slabá místa v zabezpečení. Například poskytnutím informací o používaném softwaru a jeho verzi.

Průzkum přitom ukázal, že 71 % ze zapojených firem používá zastaralé a reálně či potenciálně zranitelné verze operačních systémů i běžných programů jako je třeba textový editor. To je pro potenciálního útočníka cenná informace, protože pak přesně ví, jak má efektivně udeřit.

Firmy a jejich zaměstnanci „ukazují karty“ útočníkům

Nejen v metadatech dokumentů mohou potenciální útočníci najít informace použitelné pro vhodné zacílení útoků. KPMG varuje, že servery, na kterých běží webové stránky firem, v některých případech veřejně poskytují informaci o softwaru, který je pohání.

Informace o použitém softwaru a technologiích také po internetu šíří zaměstnanci firem, když například přispívají do diskusních fór, kde se veřejně či neveřejně uchovávají informace například o používaném operačním systému, webovém prohlížeči a jeho doplňcích.

Z tohoto pohledu jsou nejvíce ohroženy technologické a softwarové společnosti, jejichž zaměstnanci do on-line diskusí a skupin přispívají zdaleka nejvíce,“ uvedl ve zprávě pro média Radek Šichtanc z české pobočky společnosti KPMG.

KPMG též upozorňuje, že z webových stránek firem lze vyčíst, kde jsou uložené neveřejné soubory. „Navigace na webových stránkách firem odhalily množství klíčových slov, s jejichž pomocí experti dokázali detekovat cestu, kde se neveřejné soubory firem nacházejí,“ stojí ve zprávě pro média.

Nástup vládami podporovaných hackerů

KPMG ve zprávě pro média konstatuje, že firmy dnes už nečelí jen útokům ze strany nezávislých skupin nebo prostřednictvím předpřipravených nástrojů.

Hrozbou jsou vládami různých států podporované agentury, které se snaží dostat k citlivým informacím cizích firem, a získat tak konkurenční výhodu nebo cenné informace.

Relativní novinky jsou pak hackeři – aktivisté, kteří též mohou firmám odstavit webové stránky po odcizení a zveřejnění citlivých materiálů.

bitcoin školení listopad 24

Mnohé firmy tak mohou potřebovat bezpečnostní analýzu nejen své vnitrofiremní počítačové sítě, ale také svých veřejně přístupných webových stránek a materiálů na nich dostupných.

Podle toho pak lze navrhnout konkrétní ochranné technologie, nástroje a postupy. „Výsledné řešení by mělo vždy reflektovat konkrétní situaci a mělo by být poplatné rizikům, která každá společnost u svého digitálního vlastnictví vnímá,“ uvádí ve zprávě pro média Radek Šichtanc z KPMG s tím, že obecně aplikovatelné řešení, které útokům zcela zamezí, neexistuje. 

Zdroj: KPMG, ChannelWorld

Čtěte dále

Obchodní rozchod, Ingram Micro ukončuje spolupráci s Broadcomem
Obchodní rozchod, Ingram Micro ukončuje spolupráci s Broadcomem
Canalys: Trh chytrých náramků a hodinek vyrostl o 3 %, o trůn se dělí Apple s Xiaomi
Canalys: Trh chytrých náramků a hodinek vyrostl o 3 %, o trůn se dělí Apple s Xiaomi
ComSource: Čtvrtinu dat posílaných z mobilu na internet tvoří obsah na sociální sítě
ComSource: Čtvrtinu dat posílaných z mobilu na internet tvoří obsah na sociální sítě
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC