В апреле 2013 года компания Veracode опубликовала очередной ежегодный отчёт State of Software Security (pdf) с трендами и статистикой в области интернет-безопасности. Компания очень подробно исследует наиболее распространённые уязвимости веб-приложений, а также общие тенденции на рынке интернет-безопасности. Остановимся подробнее на последнем.
Ключевые тенденции – 2013
Увеличение количества «повседневных» хакеров (скрипт-кидди). Простой поиск в интернете по фразе [SQL Injection Tutorial] выдаёт 1,74 млн результатов, в том числе пошаговые руководства по SQL-инъекциям и видео на Youtube. Хотя такой вид уязвимостей легко обнаружить и закрыть, но статистика Veracode показывает, что около 32% веб-приложений уязвимы к SQL-инъекциям, и их доля стабильно держится на одном уровне уже шесть кварталов подряд. По данным Trustwave, в прошлом году 26% всех взломов в интернете было проведено именно таким способом. Veracode прогнозирует, что в текущем году этот показатель превысит 30%. Такие уязвимости слишком легко находить и эксплуатировать. Цифры в исследовании получены по результатам исследования 22430 веб-сайтов, загруженных на платформу Veracode в период с января 2011 года по июнь 2012 года.
Рост спроса на профессионалов в области ИТ-безопасности. Специалисты по ИБ становятся дефицитной и редкой профессией, им предлагают большие зарплаты и высокие гонорары просто за консультации. Всё больше хакеров открывают свои маленькие консалтинговые фирмы.
Проблемы с криптографией в приложениях под Android (64%) и iOS (58%). Веб-разработчики некорректно применяют стандартные криптографические библиотеки, потому что не обладают фундаментальными знаниями в этой научной дисциплине.
Криптографическая защита коммуникаций станет нормой. Движущей силой на этом пути станут корпорации, которые хотят защитить коммуникации своих сотрудников от прослушивания, утечки информации и кражи торговых секретов. Популярные веб-сайты, социальные сети, Twitter и прочие тоже перейдут на HTTPS по умолчанию. Мобильный трафик будет тотально шифроваться.
