16.03.2007

Сравнение уязвимостей в серверных и клиентских ОС

image

На днях попался очень интересный документ специалиста по безопасности Джеффа Джонса, в котором он рассказывает об уязвимостях в настольных и серверных системах Windows Vista, Windows XP, Ubuntu, Red Hat и Sun Solaris.

На днях попался очень интересный документ  специалиста по безопасности Джеффа Джонса, в котором он рассказывает об уязвимостях в настольных и серверных системах Windows Vista, Windows XP, Ubuntu, Red Hat и Sun Solaris.


В первом рисунке представлено общее количество уязвимостей низкой, средней и высокой степени опасности, обнаруженных в клиентских версиях операционных систем с ноября 2006 по январь 2007 года.



рис.1 - количество уязвимостей в рабочих станциях с ноября 2006 по январь 2007


На следующем рисунке представлено общее количество уязвимостей, обнаруженных в серверных версиях рассматриваемых операционных систем.


рис.2 - количество уязвимостей в cерверных службах ОС с ноября 2006 по январь 2007

Следует однако заметить, что автор признает, что количество уязвимостей, которые приведены на рисунках, нельзя сравнивать с реальным риском который зависит от ценности информации и понимания существующих угроз. Однако, число и качество атакующих - элементы, в значительной степени ортогональные к факторам, на которые может влиять производитель ПО.

Уязвимость, с другой стороны, фактор, на который производители программного обеспечения могут непосредственно воздействовать, вкладывая деньги в процесс тестирования и уменьшить количество дыр в конечном продукте.

Представьте что вы CSO который ответственен за защиту информации на сервере компании. Вы предполагаете, что информация это цель и что потенциальные злоумышленники попытаются атаковать эту цель. У вас стоит задача выбора ОС для обслуживания этой информации В этом случае, когда установлены угрозы и определена ценность информации, уравнение риска прежде всего зависит от количества уязвимостей выбранной вами системы (естественно до выбора дальнейших мероприятий по снижению риска).

Подробнее с методологией тестирования можно ознакомиться по этой ссылке.
или введите имя

CAPTCHA