Ответ безопасности в 2013 году быстрее, но все еще недостаточно быстр

В прошлом году швейцарская информационная компания High-Tech Bridge обнародовала эту новость, посрамив Yahoo предложить больше, чем просто футболку в качестве награды за ошибку. Такого рода исследования не то, чем занимаются исследователи HTB каждый день. Их основное внимание уделяется выявлению уязвимостей и выпуску рекомендаций по безопасности, касающихся их результатов. Группа выпустила 62 рекомендации в 2013 году и увидела общее улучшение реагирования отрасли.

Ускоренный ремонт

Согласно только что опубликованному отчету HTB, поставщики выпускали исправления для сообщаемых проблем гораздо быстрее, чем в 2012 году. Кроме того, «подавляющее большинство поставщиков предупреждали своих пользователей об уязвимостях справедливым и быстрым способом», где в прошлом многие тихо исправили проблему или преуменьшили риск. В отчете содержался призыв к Mijosoft (не Microsoft) за плохую безопасность.

Среднее время исправления критических уязвимостей сократилось с 17 дней в 2012 году до 11 дней в 2013 году, что является впечатляющим сокращением. Уязвимости со средним риском работали еще лучше: от 29 до 13 дней. Это прогресс, но есть возможности для улучшения. В отчете отмечается, что «11 дней на исправление критических уязвимостей по-прежнему довольно длительная задержка».

Увеличение сложности

Согласно отчету, плохим парням становится все труднее выявлять и использовать критические уязвимости. Им приходится прибегать к таким методам, как цепные атаки, где использование критической уязвимости возможно только после успешного преодоления некритической уязвимости.

В течение 2013 года многие уязвимости были понижены с высокого или критического до среднего. В частности, это эксплойты, которые могут быть выполнены только после того, как злоумышленник прошел аутентификацию или вошел в систему. В отчете отмечается, что разработчикам необходимо думать о безопасности даже в отдельных областях. доступны для доверенных пользователей, поскольку некоторые из этих доверенных сторон "могут быть весьма враждебными".

Внутренние разработчики должны уделять дополнительное внимание безопасности. Внедрение SQL и межсайтовый скриптинг являются наиболее распространенными атаками, а собственные приложения являются наиболее распространенными жертвами таких атак (40%). Следующие плагины системы управления контентом (CMS) - 30%, за ними следуют небольшие CMS - 25%. Нарушения в действительно больших CMS, таких как Joomla и WordPress, делают большие новости, но, согласно HTB, они составляют всего пять процентов от общего числа. Многие платформы для ведения блогов и CMS остаются уязвимыми просто потому, что их владельцы не могут полностью их исправлять или не могут правильно их настроить.

Итак, как избежать взлома вашего сайта или CMS? В отчете делается вывод о том, что вам нужно «гибридное тестирование, когда автоматизированное тестирование сочетается с ручным тестированием безопасности человеком». Неудивительно, что High Tech Bridge предлагает именно такие тесты. Но они правы. Для реальной безопасности вы хотите, чтобы хорошие парни атаковали и показали, что вам нужно исправить.