[Информационная безопасность, Программирование, Софт] Антирекорд 2020: в ПО выявили уязвимостей больше, чем в любой другой год
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Этот год для индустрии был, мягко говоря, «непростым» и разработчики крупного программного обеспечения поставили очередной антирекорд 2020: в этом году было выявлено рекордное количество уязвимостей. Всего, согласно данным CISA, всего за этот год в программном обеспечении различных производителей было зафиксировано 17550 уязвимостей, дыр и эксплоитов различного уровня угрозы. К сравнению, в 2019 году это число составляло 17 306 обнаруженных уязвимостей.
Сообщается, что в 2020 году специалисты нашли 4177 уязвимостей с высокого уровня против 4337 в прошлом году. Основную массу составили «дыры» среднего уровня опасности — 10 776, что ниже прошлогоднего значения в 10 956.
Общая динамика по росту количество слабостей, обнаруженных в ПО, не радует. Количество эксплоитов и уязвимостей в программном обеспечении растет, и если в процентном соотношении рост составил менее 2%, то в абсолютном выражении речь идет о почти 250 «дырах» в безопасности различных продуктов.
Если смотреть графики количества найденных уязвимостей, то основной «пик» приходится на 2017 год: именно тогда количество найденных эксполитов увеличилось кратно, почти в 2,5 раза.
В основном, уязвимости в этом году касались веб-приложений, однако значительный рост объема сомнительного кода был зафиксирован и на других направлениях. Так, дыры в API в 2020 году находили вдвое чаще, чем в предыдущем, а в Android и вовсе втрое чаще. В этом году и изменился характер уязвимостей. Если в предыдущие годы компании активно искали дыры в продуктах на клиентской стороне, о чем свидетельствуют отчеты, то теперь все больше эксплоитов стали находить в инфраструктуре IT-компаний и во внутренних продуктах, которыми пользуются сотрудники. Вероятнее всего, это связано, в первую очередь, с массовой надстройкой «тонких» клиентов и предоставления удаленного доступа сотрудникам, находящимся на изоляции из-за COVID-19. Само собой, привычный периметр безопасности из-за этого был нарушен и наружу поползли старые «болезни» и прочие проблемы софта, которые ранее «заметались под ковер» и глушились внутрикорпоративной ИБ-политикой в плане регулирования доступа и прочим.
Согласно отчету, основная часть уязвимостей касалась веб-приложений, однако заметен рост и в других сегментах. Например, число обнаруженных дыр в API выросло вдвое, а для Android — втрое. Кроме того, сменились и цели для атак и изучения. Если раньше компании больше беспокоились о проблемах в продуктах, с которыми взаимодействуют их конечные потребители, то теперь внимание уделяется и собственной IT-инфраструктуре, и продуктам, которые используются сотрудниками.
Нужно понимать, что в 2017 году разработчики по всему миру не стали резко тупее. Вполне возможно, такой ненормальный рост статистики обуславливается тем, что именно в 2017 году различные группы вскрыли огромное количество уязвимостей «нулевого дня» в старых давно существующих продуктах. Немалый вклад в это внесла как минимум инициатива Trend Micro’s Zero Day, которая специализировалась в то время как раз на таких «нулевых» эксплоитах и довела свой счетчик до 382 найденных серьезных эксплоитов против 69 годом ранее.
Примерно на 2017 год пришелся и рост активности Whitehat-специалистов, которые все активнее и активнее сотрудничали с корпорациями. В тот период только Google выделял на свою Bug Bounty-программу $3 млн, не говоря об инициативах других крупных разработчиков ПО. Все это, в совокупности с растущим сообществом Open Source и «белых шляп» могло привести к взрывному росту статистики по найденным эксплоитам. В конце 2016 года Apple запустила закрытую официальную Bug Bounty-программу по инвайтам с выплатами до $200 тысяч. Открытые программы Microsoft и Facebook тогда вообще не имели официального хардкапа по выплатам и приглашали всех желающих поискать дыры в их проектах.
Однако отрицать падение общего уровня разработки за последние годы глупо. Все больше и больше продуктов выходят в состоянии «вечной беты» чтобы привлечь инвестиции или оправдать ожидания партнеров.
===========
Источник:
habr.com
===========
Похожие новости:
- [Программирование, Prolog, Искусственный интеллект, Natural Language Processing] Роль логического программирования, и стоит ли планировать его изучение на 2021-й
- [Информационная безопасность] Security Week 52: управление атакой SunBurst через DNS-запросы
- [Программирование, Разработка под Android, Визуализация данных, Криптовалюты] CoinRoad: Как мы сделали приложение на базе кастомных пушей в Android
- [Информационная безопасность, Интернет вещей] Уязвимости IoT-систем на примере LoRaWAN
- [Информационная безопасность, Разработка мобильных приложений, Разработка под Android, Аналитика мобильных приложений] Как правильно идентифицировать Android-устройства
- [Информационная безопасность, IT-инфраструктура, Исследования и прогнозы в IT, Сетевое оборудование] Китай vs США — особенности противостояния ИТ-гигантов
- [Программирование, Развитие стартапа, Карьера в IT-индустрии, Научно-популярное] Исповедь CTO: путь развития технического директора в стартапе (перевод)
- [Информационная безопасность, Сетевые технологии] VPN: ещё раз просто о сложном
- [Системное программирование, FPGA, Программирование микроконтроллеров, Компьютерное железо] Начинаем опыты с интерфейсом USB 3.0 через контроллер семейства FX3 фирмы Cypress
- [Программирование, Java, SQL, Облачные сервисы] Контроль версий в базах данных — Сравнение Liquibase и Flyway (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_programmirovanie (Программирование), #_soft (Софт), #_miran (Миран), [url=https://torrents-local.xyz/search.php?nm=%23_dts_"miran"&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_dts_"miran" (ДЦ "Миран")[/url], #_miran, #_novosti (новости), #_informatsionnaja_bezopasnost (информационная безопасность), #_soft (софт), #_programmirovanie (программирование), #_statistika_whitehat (статистика whitehat), #_bug_bounty, #_antirekord (антирекорд), [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_datatsentr_«miran»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_datatsentr_«miran» (
Блог компании Дата-центр «Миран»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_programmirovanie (
Программирование
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:16
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Этот год для индустрии был, мягко говоря, «непростым» и разработчики крупного программного обеспечения поставили очередной антирекорд 2020: в этом году было выявлено рекордное количество уязвимостей. Всего, согласно данным CISA, всего за этот год в программном обеспечении различных производителей было зафиксировано 17550 уязвимостей, дыр и эксплоитов различного уровня угрозы. К сравнению, в 2019 году это число составляло 17 306 обнаруженных уязвимостей. Сообщается, что в 2020 году специалисты нашли 4177 уязвимостей с высокого уровня против 4337 в прошлом году. Основную массу составили «дыры» среднего уровня опасности — 10 776, что ниже прошлогоднего значения в 10 956. Общая динамика по росту количество слабостей, обнаруженных в ПО, не радует. Количество эксплоитов и уязвимостей в программном обеспечении растет, и если в процентном соотношении рост составил менее 2%, то в абсолютном выражении речь идет о почти 250 «дырах» в безопасности различных продуктов. Если смотреть графики количества найденных уязвимостей, то основной «пик» приходится на 2017 год: именно тогда количество найденных эксполитов увеличилось кратно, почти в 2,5 раза.  В основном, уязвимости в этом году касались веб-приложений, однако значительный рост объема сомнительного кода был зафиксирован и на других направлениях. Так, дыры в API в 2020 году находили вдвое чаще, чем в предыдущем, а в Android и вовсе втрое чаще. В этом году и изменился характер уязвимостей. Если в предыдущие годы компании активно искали дыры в продуктах на клиентской стороне, о чем свидетельствуют отчеты, то теперь все больше эксплоитов стали находить в инфраструктуре IT-компаний и во внутренних продуктах, которыми пользуются сотрудники. Вероятнее всего, это связано, в первую очередь, с массовой надстройкой «тонких» клиентов и предоставления удаленного доступа сотрудникам, находящимся на изоляции из-за COVID-19. Само собой, привычный периметр безопасности из-за этого был нарушен и наружу поползли старые «болезни» и прочие проблемы софта, которые ранее «заметались под ковер» и глушились внутрикорпоративной ИБ-политикой в плане регулирования доступа и прочим. Согласно отчету, основная часть уязвимостей касалась веб-приложений, однако заметен рост и в других сегментах. Например, число обнаруженных дыр в API выросло вдвое, а для Android — втрое. Кроме того, сменились и цели для атак и изучения. Если раньше компании больше беспокоились о проблемах в продуктах, с которыми взаимодействуют их конечные потребители, то теперь внимание уделяется и собственной IT-инфраструктуре, и продуктам, которые используются сотрудниками. Нужно понимать, что в 2017 году разработчики по всему миру не стали резко тупее. Вполне возможно, такой ненормальный рост статистики обуславливается тем, что именно в 2017 году различные группы вскрыли огромное количество уязвимостей «нулевого дня» в старых давно существующих продуктах. Немалый вклад в это внесла как минимум инициатива Trend Micro’s Zero Day, которая специализировалась в то время как раз на таких «нулевых» эксплоитах и довела свой счетчик до 382 найденных серьезных эксплоитов против 69 годом ранее. Примерно на 2017 год пришелся и рост активности Whitehat-специалистов, которые все активнее и активнее сотрудничали с корпорациями. В тот период только Google выделял на свою Bug Bounty-программу $3 млн, не говоря об инициативах других крупных разработчиков ПО. Все это, в совокупности с растущим сообществом Open Source и «белых шляп» могло привести к взрывному росту статистики по найденным эксплоитам. В конце 2016 года Apple запустила закрытую официальную Bug Bounty-программу по инвайтам с выплатами до $200 тысяч. Открытые программы Microsoft и Facebook тогда вообще не имели официального хардкапа по выплатам и приглашали всех желающих поискать дыры в их проектах. Однако отрицать падение общего уровня разработки за последние годы глупо. Все больше и больше продуктов выходят в состоянии «вечной беты» чтобы привлечь инвестиции или оправдать ожидания партнеров. =========== Источник: habr.com =========== Похожие новости:
Блог компании Дата-центр «Миран» )[/url], #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_programmirovanie ( Программирование ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:16
Часовой пояс: UTC + 5