В процентном соотношении выборка распределилась следующим образом: банки — 51%, процессинговые центры и торгово-сервисные предприятия — по 20%, платежные шлюзы — 7% и телеком — 2%. На основании исследования был составлен перечень десяти уязвимостей, наиболее часто встречающихся в компаниях из данных отраслей при проведении ASV-сканирований.

Наиболее часто встречающиеся уязвимости были обнаружены в устаревших версиях программного обеспечения Apache, Microsoft IIS и Open SSL, а в протоколах IPSec, SSL и Microsoft RDP было выявлено использование слабого шифрования. Частота выявления уязвимостей в данном программном обеспечении обусловлена популярностью их использования. Нередко при первом прохождении ASV-сканирования обнаруживается доступный извне протокол Telnet.

В целом, значительная часть уяз­вимостей (даже с высоким CVSS) может быть очень быстро и «безболезненно» устранена, поэтому в вопросах управления уязвимостями главную роль играет именно знание об их существовании. И тут всплывает ошибка № 1, которую совершают многие организации.

< ... >