欧洲的主要保险公司最近发现,其Web应用程序的架构包含了几个安全弱点。
主要保险公司及其安全威胁 - 报告
根据2021年保险公司的Web应用程序安全性报告,它仔细分析了欧洲十大保险提供商的Web应用程序。该报告使用了Adv评级的列表,并发现每个保险公司都有一定程度的安全漏洞。
该报告还发现,欧洲顶级保险公司拥有超过1,920个域名的7,600个互联网暴露的Web应用程序。它还揭示了3%的域被认为是可疑的。
此外,确定的保险公司申请中有近四分之一或四分之一易于利用的已经是已知的漏洞。
欧洲主要保险公司的前三名攻击媒介
根据该报告前哨24,这是前三名攻击向量:
分布程度- 页面量越高,风险越高。必须确定所有页面,并且必须在所有级别上发现所有代码漏洞。
页面创建方法 - 该方法主要取决于Web应用程序正在开发的代码。
开发包含不安全代码的网站存在风险。过时的软件还增加了各种黑客很容易利用的脆弱性风险。
活动内容- 每当软件应用程序运行许多脚本时,内容就会激活。根据脚本的实施方式,每当使用脆弱的技术活动内容开发网站时,攻击表面都会增加。
前哨24的报告还涵盖了围绕Cookie同意,基本SSL甚至隐私政策缺陷的其他安全性和合规性问题。
勒索软件攻击保险公司
IT安全专家认为这个问题令人担忧,因为Web应用程序仍然是最大的数据泄露来源。
毫不奇怪,这些应用具有攻击向量带来的许多复杂性,这些攻击向量不断提出严重脆弱性的可能性。
几家保险公司已经经历了黑客的强烈攻击,他们要求勒索软件付款以换取其被盗数据。
最近的勒索软件攻击袭击了保险业的知名人士,包括美国CNA Financial,被迫支付4000万美元来重新获得对其系统的访问权限和AXA的3TB敏感数据泄漏。
现在将是黑客团体攻击这些保险公司的最佳时机,因为它们比其安全漏洞更容易定位。
主要保险公司应该做什么?
知道他们更容易受到攻击,小型保险公司和主要保险公司都需要考虑将放大镜作为检查其应用程序攻击表面的一种手段。
预防来自各种黑客的攻击应该是他们的首要任务,尤其是对前哨24报告揭示的最臭名昭著和最常见的攻击媒介。
这样做将使他们的保险安全开发商和团队能够加强和保护其攻击表面。保险公司还可以采取必要的步骤来减轻其应用程序足迹中的威胁。
本文由技术时报拥有
由弗兰·桑德斯(Fran Sanders)撰写
