Schon einige Zeit online aber bisher übersehen, die aktuelle neue SANS Top 20 ist online.
Client-side Vulnerabilities in:
- C1. Web Browsers
- C2. Office Software
- C3. Email Clients
- C4. Media Players
Server-side Vulnerabilities in:
- S1. Web Applications
- S2. Windows Services
- S3. Unix and Mac OS Services
- S4. Backup Software
- S5. Anti-virus Software
- S6. Management Servers
- S7. Database Software
Security Policy and Personnel:
- H1. Excessive User Rights and Unauthorized Devices
- H2. Phishing/Spear Phishing
- H3. Unencrypted Laptops and Removable Media
Application Abuse:
- A1. Instant Messaging
- A2. Peer-to-Peer Programs
Network Devices:
- N1. VoIP Servers and Phones
Zero Day Attacks:
- Z1. Zero Day Attacks
Webbrowser und Webapplikationen ganz oben sind natürlich kein Wunder. Office hat die zweite Stelle bei Client-side Vulnerabilities gewonnen, aber mein Eindruck ist eher, die Angreifer ziehen bereits weiter (z.B. Quicktime). Neu ist der Punkt H3, unverschlüsselte Laptops und Datenträger. Mal sehen, ob das bei Ernst & Young jemand zur Kenntnis nimmt.