Исследование: уязвимостей становится меньше

Четверг, 31 мая 2007 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Рост количества уязвимостей продолжается, но его темпы сильно замедлились, утверждает компания Mitre, ведущая проект "Тезаурус уязвимостей" (CVE, Common Vulnerability and Exposures). За первые четыре месяца года был отмечен лишь 5% рост против 60% за тот же период прошлого года, сообщает DarkReading.com.
С января по апрель включительно проект пополнился 2245 сообщениями, в то время как с января по апрель 2006 года их добавилось 2143. Команда IBM-ISS X-Force подтверждает утверждения CVE: с января по середину мая прошлого года она собрала 2419 уязвимостей, что на 39,5% больше, чем в 2005, а в этом году за тот же период – 2553.
По словам Гюнтера Оллманна (Gunter Ollmann), директора IBM-ISS по стратегии безопасности, показатели первых месяцев по-прежнему бьют рекорды, но "в этом году они будут относительно умеренными". По его прогнозам в течение года будет раскрыто порядка 8,5 тыс. уязвимостей против 7247 в 2006.
Эксперты считают, что дело не в более надёжном ПО, а в большей закрытости. Всё больше специалистов по безопасности находят работу у крупных вендоров, которые закрывают уязвимости по мере обнаружения, не сообщая о них публично. Ещё один фактор связан с компьютерной преступностью: уязвимости нулевого дня можно продать на чёрном рынке за большие деньги. В "тезаурусе уязвимостей" крупные и опасные ошибки составляют всего 20%.
По мнению старшего инженера по информационной безопасности Mitre Стива Кристи (Steve Christey), есть и другие причины замедления роста. В частности, это улучшение процесса анализа уязвимостей, попадающих в CVE. В предыдущие 2 года также резко выросло число независимых исследователей безопасности, что не могло не повлиять на рост количества найденных ими ошибок. В этом году, считает Кристи, была достигнута критическая масса.
Не последнюю роль в уменьшении числа уязвимостей сыграла и Vista, за которую ещё не успели взяться по-настоящему, а новые функции защиты сильно повысили её надёжность, считает Оллманн.
Изменяется и рынок исследователей. "3-5 лет назад целью многих начинающих исследователей было обнаружение и публикация уязвимостей, и получение благодарности. Затем он обнаружили, что можно зарабатывать деньги, предлагая коммерческие услуги поиска". Некоторые софтверные компании скрывают наличие уязвимостей до выпуска обновления, но и после обновления об ошибке могут и не упомянуть.
По словам Кристи, существует ряд новых видов уязвимостей, которые под силу только квалифицированным экспертам. Это переполнения целочисленных значений и "мягкое" переполнение буфера.
И, наконец, на количество найденных уязвимостей влияют времена года. Летом исследователи отдыхают, а осенью снова берутся за работу, и показатели растут.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 483
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Rating@Mail.ru