Тенденции мира уязвимостей

Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности. Итак некоторые из выводов сделанных Frost & Sullivan: число зафиксированных публично уязвимостей возросло на 62% по сравнению с 2009-м годом.уязвимостей высокой степени риска было зафиксировано большинство - почти 70% - в 4 раз больше, чем уязвимостей средней степени риска.наиболее уязвимой пятеркой приложений признаны Adobe (вдвое больше дыр, чем в ближайшем "конкуренте"), MS Office, RealPlayer, MS IE и Apple Safari. Adobe - это Acrobat и Reader, Shockwave Player, Air и FlashPlayer. Немного выбивается из общей картины HP OpenView NNM, который входит в десятку самых уязвимых приложений 2010-го года.более половины всех уязвимостей приходится на бизнес- и мультимедиа-приложения. В СЗИ зафиксировано чуть более одного процента всех уязвимостей.по операционкам лидером по числу дыр остается Windows, но MacOS наступает на пятки уже обошла даже Linux, которая находится на третьем месте по числу уязвимостейнаиболее часто (треть всех проблем) встречаются уязвимостей, связанные с буфферами (в т.ч. переполнение буффера, но не ограничиваясь только им). На втором месте code injection (SQL Injection на 9-м месте). Интересно, что тут возникает некоторая нестыковка с цифрами Veracode . Возможно это связано с тем, что Frost & Sullivan анализировал именно зафикисированные и опубликованные уязвимости, а Veracode просто анализировал различные приложения. Возможно была нестыковка в терминологии. F&S использовал CWE (Common Weakness Enumeration) для описания типов уязвимостей.результатом использования большинства (около 50%) уязвимостей является выполнение некоего кода. На втором месте - отказ в обслуживании. рост числа уязвимостей в продукции Apple связан с ростом ее популярности. Какие выводы делает Frost & Sullivan? Во-первых, большое внимание злоумышленников будет направлено на SCADA-решения. Во-вторых, разработчикам мобильных устройств и приложений для них тоже придется уделять большее внимание вопросам борьбы с уязвимостями. В-третьих, исследования уязвимостей - это необходимая задача, от которой никуда не уйти. И, наконец, разработчики ПО должны больше внимания уделять правилам безопасного программирования. Жаль, что Frost & Sullivan анализировал только иностранные источники информации об уязвимостях - CVE, NVD, а также сайты зарубежных компаний - iDefense, Secunia и т.д. У нас в России есть тоже достойные исследовательские лаборатории. Собственно их всего две, как я понимаю. Это Digital Security Research Group и Positive Technologies Reseacrh Team . Первая ориентируется преимущественно на приложения SAP и Oracle, а вторая - преимущественно на Web-приложения.