На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2003-10-6 на главную / новости от 2003-10-6
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 6 октября 2003 г.

ISS систематизирует угрозы компьютерной безопасности

Фирма Internet Security Systems выпустила "Каталог катастрофических рисков" (Catastrophic Risk Index, CRI), в котором собраны сведения о наиболее серьезных на сегодня дефектах безопасности -- всего 31 пункт -- и об атаках с их использованием.

Каталог адресован администраторам вычислительных систем. Постоянно обновляемый, он должен напоминать о первоочередных вопросах обеспечения безопасности сетей. Как и следовало ожидать, все перечисленные в документе риски, за исключением двух, связаны с переполнением буфера.

Это самое уязвимое место как в коммерческих, так и в свободно распространяемых с исходными текстами программных продуктах. Разнообразные подверженные переполнению буферы присутствуют практически в любых приложениях, приводя к одним и тем же последствиям: атака извне завершается несанкционированным доступом к ответственному приложению или серверу.

Для включения в CRI дефект безопасности должен отвечать ряду критериев: быть достаточно распространенным, чтобы затрагивать организации различных отраслей; представлять серьезную угрозу конфиденциальности, целостности или готовности ответственных данных; создавать угрозу катастрофического отказа систем, от которых зависит функционирование бизнеса; быть привлекательным для создателей вирусов.

Около трети списка приходится на свободно распространяемое в исходных текстах ПО, в том числе OpenSSL, Sendmail и Snort. Остальные места достались коммерческим программным продуктам, в большинстве своем производимым корпорацией Microsoft (12 позиций). Еще два поставщика коммерческих продуктов -- фирмы Sun Microsystems и PeopleSoft -- получили по два места.

Каталог подготовлен образованной в рамках ISS исследовательской группой X-Force, в планы которой входит его регулярное обновление. Таким образом, пользователи всегда будут иметь в своем распоряжении список дефектов безопасности, наиболее серьезных на текущий момент.

Представители ISS поясняют, что целью этой работы послужило желание нивелировать информационное давление на клиентов, которых ежедневно заваливают сообщениями о все новых дефектах и атаках.

"Наши специалисты по компьютерной безопасности обнаруживают две-три сотни новых дефектов в месяц. Если компания хочет заниматься каким-то еще делом, такая нагрузка будет для нее совершенно непосильной", -- прокомментировал вице-президент X-Force Крис Ролан.

 

← сентябрь 2003 1  2  3  6  7  8  9  10  13 ноябрь 2003 →
Реклама!
 

 

Место для Вашей рекламы!