IBM X-Force 2009 Trend and Risk Report

IBM X-Force 2009 Trend and Risk Report
Подразделением X-Force , компании IBM , опубликован очередной аналитический отчет " X-Force^ 2009 Trend and Risk Report ". В отчете охвачены следующие наборы данных: - Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.). - Уязвимости и угрозы Web-приложений - Уязвимости и угрозы на стороне клиента (client-side) - Угрозы просмотра нежелательного контента - Вредоносные программы - Спам - Фишинг name='more'> X-Force признают, что наиболее распространенными типами угроз в настоящее время, являются уязвимости Web-приложений. Так выглядит динамика обнаруженных уязвимостей с 1998 года: Рассматривая динамику уязвимостей с 2004 по 2009 год, X-Force приводит следующие результаты: То есть, наиболее распространенными уязвимостями, связанными с разработкой Web-приложений, являются "Внедрение операторов SQL" (SQL Injection) [ CWE-89 , OWASP A2 , WASC-19 , WHID: SQL Injection ], "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS) [ CWE-79 , OWASP A1 , WASC-8 , WHID: XSS ] и "Инклюдинг файлов" (File Include) [ CWE-98 , OWASP A3 , WASC-33 , WHID: LFI ], что в целом сходится с результатами статистики Positive Technologies [ 1 , 2 , 3 ] и с результатами международной статистики Web Application Security Consortium [ 4 ]. По данным X-Force, частота обнаружения уязвимости "Подделка HTTP-запросов" (Cross-Site Request Forgery) [ CWE-352 , OWASP A5 , WASC-9 , WHID: CSRF ] выросла за год почти на 40%. Это объясняется повышенным вниманием к указанной уязвимости в последнее время. Впечатляющие цифры можно увидеть на графике автоматизированных сканирований за 2009 год (до 70,000,000 обнаруженных уязвимостей Cross-Site Scripting на большом скопе сканируемых узлов): А так выглядит график срока публикации эксплоита с момента разглашения уязвимостей (client-side): И разумеется соотношение наиболее опасных уязвимостей по вендору: Но и 14% уязвимостей Adobe , в соотношении с другими производителями, было достаточно, чтобы к концу 2009 года стать одним из наиболее популярных векторов осуществления атаки на клиента: Ознакомиться с полным содержимым отчета можно на сайте IBM по адресу: www.servicemanagementcenter.com
threats уязвимости статистика аналитика vulns метрики риски угрозы
Alt text