歐洲的主要保險公司最近發現,其Web應用程序的架構包含了幾個安全弱點。
主要保險公司及其安全威脅 - 報告
根據2021年保險公司的Web應用程序安全性報告,它仔細分析了歐洲十大保險提供商的Web應用程序。該報告使用了Adv評級的列表,並發現每個保險公司都有一定程度的安全漏洞。
該報告還發現,歐洲頂級保險公司擁有超過1,920個域名的7,600個互聯網暴露的Web應用程序。它還揭示了3%的域被認為是可疑的。
此外,確定的保險公司申請中有近四分之一或四分之一易於利用的已經是已知的漏洞。
歐洲主要保險公司的前三名攻擊媒介
根據該報告前哨24,這是前三名攻擊向量:
分佈程度- 頁面量越高,風險越高。必須確定所有頁面,並且必須在所有級別上發現所有代碼漏洞。
頁面創建方法 - 該方法主要取決於Web應用程序正在開發的代碼。
開發包含不安全代碼的網站存在風險。過時的軟件還增加了各種黑客很容易利用的脆弱性風險。
活動內容- 每當軟件應用程序運行許多腳本時,內容就會激活。根據腳本的實施方式,每當使用脆弱的技術活動內容開發網站時,攻擊表面都會增加。
前哨24的報告還涵蓋了圍繞Cookie同意,基本SSL甚至隱私政策缺陷的其他安全性和合規性問題。
勒索軟件攻擊保險公司
IT安全專家認為這個問題令人擔憂,因為Web應用程序仍然是最大的數據洩露來源。
毫不奇怪,這些應用具有攻擊向量帶來的許多複雜性,這些攻擊向量不斷提出嚴重脆弱性的可能性。
幾家保險公司已經經歷了黑客的強烈攻擊,他們要求勒索軟件付款以換取其被盜數據。
最近的勒索軟件攻擊襲擊了保險業的知名人士,包括美國CNA Financial,被迫支付4000萬美元來重新獲得對其係統的訪問權限和AXA的3TB敏感數據洩漏。
現在將是黑客團體攻擊這些保險公司的最佳時機,因為它們比其安全漏洞更容易定位。
主要保險公司應該做什麼?
知道他們更容易受到攻擊,小型保險公司和主要保險公司都需要考慮將放大鏡作為檢查其應用程序攻擊表面的一種手段。
預防來自各種黑客的攻擊應該是他們的首要任務,尤其是對前哨24報告揭示的最臭名昭著和最常見的攻擊媒介。
這樣做將使他們的保險安全開發商和團隊能夠加強和保護其攻擊表面。保險公司還可以採取必要的步驟來減輕其應用程序足跡中的威脅。
本文由技術時報擁有
由弗蘭·桑德斯(Fran Sanders)撰寫
