Тенденции мира уязвимостей

Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности.

Итак некоторые из выводов сделанных Frost & Sullivan:

  • число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
  • уязвимостей высокой степени риска было зафиксировано большинство — почти 70% — в 4 раз больше, чем уязвимостей средней степени риска.
  • наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем «конкуренте»), MS Office, RealPlayer, MS IE и Apple Safari. Adobe — это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.
  • более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.
  • по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостей
  • наиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode. Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.
  • результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте — отказ в обслуживании.
  • рост числа уязвимостей в продукции Apple связан с ростом ее популярности.

Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей — это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.

Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях — CVE, NVD, а также сайты зарубежных компаний — iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая — преимущественно на Web-приложения.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    > У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю.

    Это публичные. А сколько подпольных 😉

    Ответить
  2. malotavr

    > а вторая — преимущественно на Web-приложения.

    Обижпаете, гражданин начальник 😉 Мы всем занимаемся.

    Просто уязвимости в веб-апликухах часто находятся тупым сканированием, вот они и идут потоком. А для поиска уязвимостей в остальном софте приходитя немножко поработать.

    Ответить
  3. Unknown

    to malotavr: потому-то инфы об уязвимостях в вебаппах горааааздо больше, чем в остальном софте — трудозатраты-то нужно оплачивать 😉

    Ответить
  4. Алексей Лукацкий

    Я же написал "преимущественно" 😉 Просто на вашем сайте в списке последних бюллетеней в основном одни Web-приложения. Хотя есть и не только они, не спорю.

    Ответить
  5. malotavr

    При чем здесь оплата трудозатрат?

    Веб-приложение отличается от всего остального двумя особенностями:

    1. При работе методом черного ящика отыскать в нем уязвимости гораздо проще, чем в других типах приложений
    2. "Пряморукость" программистов — притча во языцех, и разработчики веб-приложений не исключение
    3. Веб-приложение — это приглашение для проникновения ("Начинайте ломать здесь")

    В силу п. 3 при пентесте на веб-приложения приходится обращать внимание в первую очередь. В силу п. 1 удается охватить все доступные веб-приложения заказчиков. В силу п. 2 в результате получаются туева хуча уязвимостей. Большая их часть — уникальный продукт, укоторый имеет отношение только к заказчику. Но чвасто проскакивают уязвимости в CMS — тогда приходится писать адвизори и отправлять его разработчикам CMS. Сизифов труд.

    Ответить
  6. Unknown

    > При чем здесь оплата трудозатрат?

    take it easy, не принимайте буквально 🙂 Я лишь имел в виду то же, что и Вы. "Для поиска уязвимостей в остальном софте" требуется несколько другая квалификация ищущего.

    Ответить