Согласно отчету, подготовленному двумя фирмами, занимающимися разработкой ПО
для обеспечения безопасности, большей части организаций не удается закрывать
известные дыры и эффективно сканировать свои веб-сайты на предмет наличия
распространенных уязвимостей, что позволяет хакерам входить в сети и получать
доступ к данным.
Проведенное TippingPoint и Qualys
исследование показывает, что более половины всех кибератак направлено на
приложения и веб-сайты компаний и правительственных агентств. Базой для
подготовки отчета стала информация, полученная в промежуток с марта по август
2009 года от клиентов, использующих ПО для предотвращения вторжений от
TippingPoint и инструменты для мониторинга сетей от Qualys.
По данным отчета, число дыр в приложениях превысило количество уязвимостей в
операционных системах. Баги в Adobe PDF Reader, QuickTime, Adobe Flash,
Microsoft Office и самых популярных веб-браузерах обычно эксплуатируются при
проведении фишинговых атак, в ходе которых злоумышленники распространяют
вредоносный код, обманным путем заставляя пользователей открывать инфицированные
веб-сайты, документы, а также музыку и видеофайлы, вложенные в электронные
письма.
В среднем, организации закрывают дыры в сетевых приложениях в два раза
дольше, чем в операционных системах, несмотря на то, что операционные системы
имеют меньшее число уязвимостей, которые можно эксплуатировать удаленно. Так, за
рассматриваемый в отчете период времени не было ни одного примера широкого
распространения червей для операционных систем, за исключением случая с
Conficker.
Компании, ответственные за выпуск патчей, также не справляются со своей
работой, и поэтому уязвимости нулевого дня становятся одной из самых серьезных
угроз сетям. Например, некоторые дыры, о которых разработчикам сообщили еще
более двух лет назад, до сих пор остаются открытыми.
Владельцы веб-сайтов тоже оказались неспособны эффективно сканировать код на
наличие возможных дыр, пригодных для эксплуатации, и это несмотря на то, что 60%
всех кибератак проводится именно на веб-приложения.
