Реакція безпеки у 2013 році швидша, але все ще недостатньо швидка

Швейцарська інфосекова компанія High-Tech Bridge зробила новину минулого року, прихиливши Yahoo запропонувати більше, ніж просто футболку, як виграшну помилку. Таке дослідження не є тим, що дослідники HTB роблять щодня. Їх головна увага - виявлення вразливих місць та випуск рекомендацій щодо безпеки стосовно їхніх висновків. Група випустила 62 рекомендації в 2013 році і побачила загальне поліпшення реакцій галузі.

Швидший ремонт

Відповідно до щойно опублікованого звіту HTB, продавці випустили патчі про повідомлення про проблеми набагато швидше, ніж у 2012 році. мовчки виправили цю проблему або зменшили ризик. У звіті зателефонували Mijosoft (не Microsoft) за погану практику безпеки.

Середній час виправити критичні вразливості зменшився з 17 днів у 2012 році до 11 днів у 2013 році, вражаюче скорочення. Вразливості середнього ризику зробили ще краще, пройшовши від 29 днів до 13 днів. Це прогрес, але є можливість для вдосконалення. У звіті зазначається, що «11 днів для виправлення критичних вразливих ситуацій залишається досить довгою затримкою».

Підвищена складність

Згідно з повідомленням, поганим хлопцям стає складніше виявляти та використовувати критичні вразливості. Їм доводиться вдаватися до таких методів, як прикуті атаки, де використовувати критичну вразливість можливо лише після успішного порушення некритичної.

Протягом 2013 року досить багато вразливих місць були знижені з високого ризику або критичного до середнього ризику. Зокрема, це подвиги, які можна виконати лише після автентифікації або входу зловмисника. У звіті зазначається, що розробникам потрібно думати про безпеку навіть у районах. доступні для довірених користувачів, оскільки деякі з цих довірених сторін "насправді можуть бути досить ворожими".

Внутрішні розробники повинні приділяти додаткову увагу безпеці. SQL Injection та міжсайтовий сценарій - найпоширеніші атаки, а внутрішні програми - найпоширеніші жертви таких атак - 40 відсотків. Наступні плагіни системи управління вмістом (CMS) - 30 відсотків, за ними - невеликі CMS на 25 відсотків. Порушення в дійсно великих CMS, таких як Joomla та WordPress, дають великі новини, але, за даними HTB, вони складають лише п’ять відсотків від загальної кількості. Багато платформ для ведення блогів та CMS залишаються вразливими просто через те, що їх власники не в змозі зберегти їх повністю виправленими або не зможуть їх правильно налаштувати.

Отже, як уникнути порушення вашого веб-сайту чи CMS? У звіті робиться висновок про необхідність "гібридного тестування, коли автоматичне тестування поєднується з тестуванням безпеки людини вручну". Як не дивно, дізнавшись, що High Tech Bridge пропонує саме такий вид тестування. Але вони праві. Для реальної безпеки ви хочете, щоб хороші хлопці атакували і показували, що вам потрібно виправити.