Post #703

У ~40% компаний 4sec нашла критические уязвимости Итак, прошло 3 недели со старта активной работы 4security, и у нас есть первая статистика. Из нескольких десятков зарегистрировавшихся компаний (в основном, на бесплатном тарифе) у почти что 4 из 10 компаний обнаружились опасные уязвимости. Из позитивного: в 80% случаев они были закрыты владельцем инфраструктуры в течение суток. В нескольких случаях проблемы нашлись в shadow IT и legacy инфраструктуре, которая была выведена из эксплуатации. "Иных" ситуаций буквально пара, чему мы искренне рады. Важно: мы говорим не об абстрактных CVE (которых нашлось на всех несколько сотен) а именно о тех уязвимостях, которые злоумышленники могут эксплуатировать прямо сейчас, не имея под рукой "нулей" и ЦОДа АНБ с Солт Лейк Сити. То есть вот прямо то, через что можно попасть в инфраструктуру или причинить ущерб. И еще один важный момент: тут одно очень любимое и уважаемое нами учреждение (которому мы очень хотели поставить 4sec) было уверено, что для регистрации надо отдавать нам логины и пароли от инфраструктуры. Так вот: не надо. Вообще не надо. Даже для пентеста черным ящиком не надо. В общем вот так. Полет нормальный, продолжаем работу. 4security.ru — проверь свою уязвимость!