Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности.
Итак некоторые из выводов сделанных Frost & Sullivan:
Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей - это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.
Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях - CVE, NVD, а также сайты зарубежных компаний - iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая - преимущественно на Web-приложения.
Итак некоторые из выводов сделанных Frost & Sullivan:
- число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.
- уязвимостей высокой степени риска было зафиксировано большинство - почти 70% - в 4 раз больше, чем уязвимостей средней степени риска.
- наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем "конкуренте"), MS Office, RealPlayer, MS IE и Apple Safari. Adobe - это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.
- более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.
- по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостей
- наиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode. Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.
- результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте - отказ в обслуживании.
- рост числа уязвимостей в продукции Apple связан с ростом ее популярности.
Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей - это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования.
Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях - CVE, NVD, а также сайты зарубежных компаний - iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team. Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая - преимущественно на Web-приложения.
> У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю.
ОтветитьУдалитьЭто публичные. А сколько подпольных ;)
> а вторая - преимущественно на Web-приложения.
ОтветитьУдалитьОбижпаете, гражданин начальник ;) Мы всем занимаемся.
Просто уязвимости в веб-апликухах часто находятся тупым сканированием, вот они и идут потоком. А для поиска уязвимостей в остальном софте приходитя немножко поработать.
to malotavr: потому-то инфы об уязвимостях в вебаппах горааааздо больше, чем в остальном софте - трудозатраты-то нужно оплачивать ;)
ОтветитьУдалитьЯ же написал "преимущественно" ;-) Просто на вашем сайте в списке последних бюллетеней в основном одни Web-приложения. Хотя есть и не только они, не спорю.
ОтветитьУдалитьПри чем здесь оплата трудозатрат?
ОтветитьУдалитьВеб-приложение отличается от всего остального двумя особенностями:
1. При работе методом черного ящика отыскать в нем уязвимости гораздо проще, чем в других типах приложений
2. "Пряморукость" программистов - притча во языцех, и разработчики веб-приложений не исключение
3. Веб-приложение - это приглашение для проникновения ("Начинайте ломать здесь")
В силу п. 3 при пентесте на веб-приложения приходится обращать внимание в первую очередь. В силу п. 1 удается охватить все доступные веб-приложения заказчиков. В силу п. 2 в результате получаются туева хуча уязвимостей. Большая их часть - уникальный продукт, укоторый имеет отношение только к заказчику. Но чвасто проскакивают уязвимости в CMS - тогда приходится писать адвизори и отправлять его разработчикам CMS. Сизифов труд.
> При чем здесь оплата трудозатрат?
ОтветитьУдалитьtake it easy, не принимайте буквально :) Я лишь имел в виду то же, что и Вы. "Для поиска уязвимостей в остальном софте" требуется несколько другая квалификация ищущего.