Больше половины опрошенных компаний страдают от SQL-инъекций, однако не предотвращают их

Ponemon Institute обнародовал итоги опроса, организованного для сетей DB. Выяснилось, что 65% опрошенных признались, что за предшествующий опросу год они подвергались минимум одной SQL-иньекции. При этом в среднем у каждого из респондентов такие инциденты случались каждые 3,5 месяца, а для обнаружения проведенной инъекции требовалось в среднем 68 дней.

Главной проблемой здесь является то, что противодействие SQL-иньекциям представляет собой весьма трудоемкий процесс, и при этом 52% респондентов сообщили, что никак не противодействуют подобным взломам. Однако остальные респонденты все-таки считают, что кибернападения, использующие SQL-иньекции, представляют серьезную проблему, и 42% респондентов считают SQL-инъекции одним из основных факторов произошедших нарушений целостности сайтов.

Недостаточное внимание к мероприятиям по предотвращению уязвимостей отчасти объясняется и тем, что всего 31% участвовавших в опросе посчитали, что их службы или специалисты по кибербезопасности имеют надлежащие знания для выявления SQL-инъекций. Понятно, что для выявления подобных уязвимостей требуется не только соответствующая подготовка и профильное образование, но и соответствующие программные решения: различные анализаторы и тестировочное программное обеспечение.

Таким образом, кибернападения, производимые посредством SQL-инъекций, на сегодня являются действенным для кибермошенников способом, завладеть нужными им данными. При этом последующее восстановление ресурсов после инцидентов, вызванных целевыми инъекциями, может быть весьма долгим и дорогостоящим занятием.

Как говорится, лучшая защита - это нападение. Но в данном случае эта поговорка не актуальна, ибо лучшей защиты не существует. Как же противостоять подобным взломам? Прежде всего, стоит делать акцент на безопасности еще при разработке ПО. Но этого недостаточно. Периодически надо проверять свое программное обеспечение на уязвимости, для этого можно обращаться в специализированные конторы по IT-безопасности.