Все больше экспертов в области безопасности открывают так много дыр в
программном обеспечении, что его разработчики просто не в состоянии закрывать их
в разумные сроки. Именно к такому выводу приходят авторы последнего отчета SANS.
Этот парадокс – лишь часть информации, содержащейся в отчете
Top
Cyber Security Risks, который SANS теперь планирует готовить два раза в
год совместно с компаниями TippingPoint и Qualys.
Наличие большого числа охотников на уязвимости должно быть положительным
фактором, однако данные, собранные исследователями с марта по август этого года
свидетельствуют, что обнаружение дыр создает в индустрии программного
обеспечения проблемы логистического характера, поскольку разработчики
по-прежнему в первую очередь нацелены на добавление новых функций и улучшение
своих продуктов.
Нападающие нынче предпочитают атаковать системы через бреши в приложениях, а
серверные уязвимости и дыры в операционных системах постепенно отходят на второй
план. Одновременно с этим добропорядочные исследователи также начинают находить
такие дыры, поэтому у компаний зачастую не хватает ресурсов для их устранения.
Самые часто атакуемые приложения установлены практически на каждом компьютере
в мире. По данным SANS, это и Microsoft Office и Adobe Acrobat Reader, а также
Flash-программы, Java от Sun, Apple Quicktime и браузеры.
Рост числа уязвимостей, в том числе уязвимостей нулевого дня, приводит к
увеличению сроков выхода патчей. Отчасти это вызвано тем, что компаниям
требуется время на их разработку, к тому же разработчики не всегда правильно
понимают степень риска, вызванного появлением того или иного бага.
"В среднем, крупные организации закрывают уязвимости на клиентской стороне в
два раза дольше, чем уязвимости в операционных системах. Другими словами,
угрозам с самой высокой степенью риска уделяется меньше внимания, чем угрозам с
меньшей степенью риска", - говорится в отчете.
