Количество публично раскрытых уязвимостей в 2011 сократилось, равно как и
доля ошибок, которые эксплуатировались. Сказывается безопасная разработка?
Атакующие в этом году достигли серьезных успехов, но общий вектор атаки -
эксплуатация уязвимостей в ПО - похоже идет на спад.
Согласно предварительным данным компаний, собирающих информацию об
уязвимостях, количество публично раскрытых уязвимостей в этом году сократилось
по сравнению с предыдущим, и намного меньше ошибок были использованы для
проведения атак.
Компания Symantec, например, ожидает в этом году увидеть падение общего числа
публично раскрытых уязвимостей на 30%, а критических уязвимостей – на 10%.
Ежегодно компания фиксирует около 4 500 – 5 500 уязвимостей, однако в 2010 году
их количество достигло рекордных 6 253. Меньше всего уязвимостей было замечено
за последние 6 месяцев этого года. Ту же самую тенденцию проследили и команды по
исследованию безопасности X-Force компании IBM.
Одной из возможных причин снижения могло стать то внимание, которое компании
вроде Microsoft и Adobe сосредоточили на безопасной разработке, что могло
вылиться в значительное сокращение уязвимостей, которые легко обнаружить. Об
этом сказал Джошуа Тэлбот, начальник службы безопасности компании Symantec.
"Если атакующий в курсе, что данная платформа имеет средства защиты, и что
эксплуатировать уязвимость на ней будет сложно, он может решить отказаться от
своей затеи", - объяснил Тэлбот.
Вдобавок к этому, хакер может отказаться от своего намерения если знает, что
Windows, Linux, Mac OS, равно как и многие приложения, которые работают на этих
платформах, были перестроены с добавлением в них функций безопасности, которые
усложняют задачу эксплуатирования уязвимости. Пока атакующие продолжали
заниматься уязвимостями в Adobe Acrobat, Java и MS Office, исследователи
безопасности направили свои усилия на аудит более нишевого ПО вроде систем
промышленного контроля, автомобильных систем и мобильных устройств.
"Сложно с уверенностью сказать, что движет исследователями и хакерами", -
сказал Тэлбот. "Но есть разработки, которые затрудняют создание эксплойтов, и
которые могли стать для хакеров мотивацией оставлять уязвимости и эксплойты при
себе, а не сообщать о них".
Взять, к примеру, Adobe. Исследователи стали заниматься компанией в 2008
году. Количество уязвимостей, о которых было сообщено компании, сократилось в
2009 и достигло пика в 2010. В этом году, однако, компания испытывает
значительный спад в уязвимостях. Количество сообщений об ошибках в Flash Player
сократилось на половину, а в Acrobat – на две трети. Об этом рассказал Брэд
Аркин, главный директор по безопасности в Adobe.
"Для нас важно повысить стоимость обнаружения эксплойта, сделав его более
дорогим", - отметил Аркин. "Мы очень сосредоточенно над этим работаем".
Эту тенденцию в своих данных заметила и Microsoft. В 2011 году число
критических уязвимостей в компании достигло минимального значения за последние 6
лет. К тому же, компания в этом году выпустила 99 бюллетеней, которых в прошлом
году было выпущено 106. В абсолютных цифрах это означает, что в этом году было
меньше всего критических уязвимостей с 2005 года.
"Тот факт, что год за годом мы наблюдаем снижение процента критических
проблем и бюллетеней, говорит о прогрессе, который делают продуктовые группы,
создавая более защищенное ПО", - написал в блоге Майк Риви, главный директор
Microsoft Security Response Center, комментируя данные.
С того самого момента, когда компания создала подразделение Trustworthy
Computing в январе 2002, она начала заниматься искоренением уязвимостей в своей
продукции, улучшением процесса разработки, и защите своих операционных систем и
приложений от воздействия эксплойтов. Последние данные говорят о том, что
компания преуспела.
Хотя фокус на безопасности основных платформ и приложений и укрепил ПО,
сделав его более устойчивым к действию эксплойтов, исследователи уже пошли
дальше и стали заниматься системами, которым недостает строгой проверки. Это и
встраиваемые автомобильные системы, и системы промышленного контроля, и
медицинские приборы. По мере того, как все больше подобных устройств будут
получать доступ в интернет, хакеры будут искать способы их атаковать. Об этом
сказал Вольфганг Кендек, технический директор по управлению уязвимостями из
Qualys.
"Учитывая тот темп, с которым мы подключаем все больше и больше устройств к
интернету, думаю, недостатка в уязвимостях у нас не будет", - сказал он.
