Некоторые актуальные уязвимости датируются прошлым тысячелетием

Некоторые актуальные уязвимости датируются прошлым тысячелетием

Неужели за столько лет бреши в безопасности никто не устранил?

image

Специалисты Orange Cyberdefense провели масштабный анализ уязвимостей в своём отчёте « Security Navigator 2023 » и раскрыли множество полезной информации. По их данным, ежедневно по всему миру выявляется около 22 новых угроз в самых разных отраслях. А самым старым, до сих пор не исправленным актуальным уязвимостям уже более 20 лет!

Получена и другая интересная информация. Она позволяет узнать средний период активности уязвимостей, распределение по степени важности, а также средний срок, за который выявленные угрозы исправляются разработчиками.

Возраст найденных уязвимостей по степени критичности

На таблице выше продемонстрирован средний срок устранения уязвимостей разработчиками программного обеспечения. Так как статистика глобальная и собрана по огромному числу уязвимостей, данные сильно усреднены. Однако даже так видно общую тенденцию: более серьёзные уязвимости устраняются быстрее, чем «средние» и «низкие» по степени критичности.

Понятно, что некоторые «критичные» уязвимости устраняются гораздо быстрее указанного в графике времени. В отдельных случаях на закрытие бреши требуется буквально несколько дней. Однако большинство угроз, по статистике Security Navigator, активны от 75 до 300 дней, что довольно долго, если мы говорим о кибербезопасности и всех возможных рисках.

Что ещё интереснее, по результатам исследования многие уязвимости просто не устраняются после обнаружения. Никогда. Например, существует около 0,5% уязвимостей, которые были обнаружены ещё в 1999 году. И они до сих пор не устранены. Вероятно, они останутся с нами навсегда.

Неисправленные уязвимости, обнаруженные с 1999 по 2022 год

Происходит такое по самым разным причинам. Например, из-за узконаправленности угрозы, обнаружении её в неактуальных/старых версиях ПО или банально из-за недостатка ресурсов компании, которые можно выделить на устранение бреши.

Недавно мы как раз рассказывали о том, как компания Cisco отказалась исправлять критические уязвимости в старом, но до сих пор используемом оборудовании. А вот корпорация Microsoft в своё время показала себе с лучшей стороны , и выпустила обновление безопасности даже для совсем старых операционных систем, лишь бы уберечь пользователей от возможной угрозы.

Будем надеяться, что как можно больше компаний в будущем будут следовать примеру Microsoft и устранять критические уязвимости даже в уже неподдерживаемом программном обеспечении.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!