Исследователи завалили вендоров сообщениями о дырах в безопасности

21.09.2009

Этот парадокс – лишь часть информации, содержащейся в отчете Top Cyber Security Risks, который SANS теперь планирует готовить два раза в год совместно с компаниями TippingPoint и Qualys.

Наличие большого числа охотников на уязвимости должно быть положительным фактором, однако данные, собранные исследователями с марта по август этого года свидетельствуют, что обнаружение дыр создает в индустрии программного обеспечения проблемы логистического характера, поскольку разработчики по-прежнему в первую очередь нацелены на добавление новых функций и улучшение своих продуктов.

Нападающие нынче предпочитают атаковать системы через бреши в приложениях, а серверные уязвимости и дыры в операционных системах постепенно отходят на второй план. Одновременно с этим добропорядочные исследователи также начинают находить такие дыры, поэтому у компаний зачастую не хватает ресурсов для их устранения.

Самые часто атакуемые приложения установлены практически на каждом компьютере в мире. По данным SANS, это и Microsoft Office и Adobe Acrobat Reader, а также Flash-программы, Java от Sun, Apple Quicktime и браузеры.

Рост числа уязвимостей, в том числе уязвимостей нулевого дня, приводит к увеличению сроков выхода патчей. Отчасти это вызвано тем, что компаниям требуется время на их разработку, к тому же разработчики не всегда правильно понимают степень риска, вызванного появлением того или иного бага.

"В среднем, крупные организации закрывают уязвимости на клиентской стороне в два раза дольше, чем уязвимости в операционных системах. Другими словами, угрозам с самой высокой степенью риска уделяется меньше внимания, чем угрозам с меньшей степенью риска", - говорится в отчете.

Источник: xakep.ru