На днях попался очень интересный документ специалиста по безопасности Джеффа Джонса, в котором он рассказывает об уязвимостях в настольных и серверных системах Windows Vista, Windows XP, Ubuntu, Red Hat и Sun Solaris.
На днях попался очень интересный документ специалиста по безопасности Джеффа Джонса, в котором он рассказывает об уязвимостях в настольных и серверных системах Windows Vista, Windows XP, Ubuntu, Red Hat и Sun Solaris.
В первом рисунке представлено общее количество уязвимостей низкой, средней и высокой степени опасности, обнаруженных в клиентских версиях операционных систем с ноября 2006 по январь 2007 года.
рис.1 - количество уязвимостей в рабочих станциях с ноября 2006 по январь 2007
На следующем рисунке представлено общее количество уязвимостей, обнаруженных в серверных версиях рассматриваемых операционных систем.
рис.2 - количество уязвимостей в cерверных службах ОС с ноября 2006 по январь 2007
Следует однако заметить, что автор признает, что количество уязвимостей, которые приведены на рисунках, нельзя сравнивать с реальным риском который зависит от ценности информации и понимания существующих угроз. Однако, число и качество атакующих - элементы, в значительной степени ортогональные к факторам, на которые может влиять производитель ПО.
Уязвимость, с другой стороны, фактор, на который производители программного обеспечения могут непосредственно воздействовать, вкладывая деньги в процесс тестирования и уменьшить количество дыр в конечном продукте.
Представьте что вы CSO который ответственен за защиту информации на сервере компании. Вы предполагаете, что информация это цель и что потенциальные злоумышленники попытаются атаковать эту цель. У вас стоит задача выбора ОС для обслуживания этой информации В этом случае, когда установлены угрозы и определена ценность информации, уравнение риска прежде всего зависит от количества уязвимостей выбранной вами системы (естественно до выбора дальнейших мероприятий по снижению риска).
Подробнее с методологией тестирования можно ознакомиться по этой
ссылке.