企業在推廣或活動的時候,經常會製作特別或具時間性的網站或網上應用程式,當活動或推廣完成後這些網頁通常會被遺忘,然而這種被遺棄的網站可能企業網絡帶來弱點或漏洞,近日就有研究人員從「金融時報 500」的企業中,發現 70% 存在相關的安全隱憂。
70%大企業棄置舊網站在黑市出售
雖然大企業都一直投放資源在網絡保安之上,但是另一方面,棄用和過期的網站或網上應用程式卻一直在威脅最大的全球性企業。根據報導,在「金融時報 500」的企業中,有 7 成企業的舊網站在黑市上出售,此外,92% 外置網上應用程式存在保安弱點或漏洞,美國企業就有平均 85.1 個應用程式很輕易就從外部發現並且欠缺雙重認證、強力認證或其他用作降低不信任人士存取的保安措施。
19% 企業使用外部缺乏保護的雲端儲存
研究人員收集了「金融時報美國 500」和「金融時報歐洲 500」共 1000 家企業的資料,對外部網上和流動應用程式、SSL 認證、網上軟件和雲端儲存進行測試。當中發現 19% 企業使用外部缺乏保護的雲端儲存,而且只有 2% 企業的外部網絡應用程式受到防火牆的適當保護。更甚者,27% 美國企業至少使用一個存取無需網上驗證的雲端儲存,歐洲方面則只有 12% 企業有相同情況。
錯誤設定儲存伺服器導致資料在互聯網外洩的個案最近日漸增加,不安全的雲端儲存持續為個人和敏感資料帶來威脅,當中包括美軍的承包商、Verizon 的合作伙伴、Malmart 的採購商和推銷公司等。研究人員同時發現歐美雙方少於 20% 企業的網站具備最新標準 SSL/TLS (PCI DSS 3.2.1),報告指出 48.81% 美國公司擁的網站具備 A 級 SSL/TLS 加密,但是也有 32.21% 取得 F 級不及格,甚至有 7.82% 仍然使用具有安全漏洞的 SSLv3。
WordPress 使用預設登入位置易被破解
至於佔了美國企業網站背後平台使用率 32% 的 WordPress,當中有 94% 網站仍然使用預設的管理登入位置 (/wp-admin),並沒有加設任何額外的保護,情況在歐洲更惡劣,99.5% 企業網站面對相同的弱管理位置,此舉會令黑客更容易透過暴力破解的方式進行攻擊。
資料來源:Threat Post
