חלק גדול מההתקפות באינטרנט מתבצעות בעזרת ניצול חולשות של הדפדפן או דרך רכיבי צד שלישי המותקנים על הדפדפן (Plugin).

ברור לכל מנהל אבטחת מידע (שמכבד את עצמו) שתהליך הפצת עדכוני אבטחה הינו חיוני לארגון (ולא רק עדכוני אבטחה של מייקרוסופט).

אבל בלי קשר למדיניות ההפצה, האם בפועל אנחנו מוגנים ? לא תמיד ולכן כדאי לבדוק מדגמית לפחות …

ניתן להפעיל תוכנות מסחריות לזיהוי חולשות אך יש שיטה פשוטה יותר לבדיקה מדגמית : BrowserCheck מבית Qualys.

איך זה עובד ?

1) גולשים לאתר השירות – כאן

2) מתקינים את הרכיב הנדרש

3) מבצעים סריקה (מהירה מאוד)

4) לומדים את התוצאות

כאן ניתן להבין שחלק מה-Plugins של הדפדפן שלי (Chrome) אינם מעודכנים

מה עושים עם זה ?

מספר אפשרויות :

1) ניתן להתאים את מדיניות ההפצה כדי להשלים פערים

2) ניתן להשקיע ברכיבי הגנה שלא יאפשרו למשתמש להתקין Plugins (פעולה לא תמיד ריאלית)

3) ניתן לעדכן את ה-Plugins ישירות מדף התוצאות

לפי חברת Qualys, כ-70% מהדפדפנים שהריצו את הבדיקה נמצאו לא מעודכנים.

חייבת להיות מדיניות ארגונית בנושא הפצת עדכוני אבטחה כדי לצמצם את הפירצות.

כל מנהל אבטחת מידע חייב לבצע בדיקות תקופתיות של מצב הדפדפנים בארגון.

BrowserCheck הינו פתרון טוב לבדיקות מסוג זה.