Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Некоторые  уязвимости остаются актуальными с прошлого тысячелетия

26/01/23

Специалисты Orange Cyberdefense провели масштабный анализ уязвимостей в своём отчёте «Security Navigator 2023» и раскрыли множество полезной информации. По их данным, ежедневно по всему миру выявляется около 22 новых угроз в самых разных отраслях. А самым старым, до сих пор не исправленным актуальным уязвимостям уже более 20 лет!

Получена и другая интересная информация, пишут в Securitylab. Она позволяет узнать средний период активности уязвимостей, распределение по степени важности, а также средний срок, за который выявленные угрозы исправляются разработчиками.

На таблице выше продемонстрирован средний срок устранения уязвимостей разработчиками программного обеспечения. Так как статистика глобальная и собрана по огромному числу уязвимостей, данные сильно усреднены. Однако даже так видно общую тенденцию: более серьёзные уязвимости устраняются быстрее, чем «средние» и «низкие» по степени критичности.

Понятно, что некоторые «критичные» уязвимости устраняются гораздо быстрее указанного в графике времени. В отдельных случаях на закрытие бреши требуется буквально несколько дней. Однако большинство угроз, по статистике Security Navigator, активны от 75 до 300 дней, что довольно долго, если мы говорим о кибербезопасности и всех возможных рисках.

Что ещё интереснее, по результатам исследования многие уязвимости просто не устраняются после обнаружения. Никогда. Например, существует около 0,5% уязвимостей, которые были обнаружены ещё в 1999 году. И они до сих пор не устранены. Вероятно, они останутся с нами навсегда.

vjto4a3v91umdqvrnwukiip8jykzxij6

Происходит такое по самым разным причинам. Например, из-за узконаправленности угрозы, обнаружении её в неактуальных/старых версиях ПО или банально из-за недостатка ресурсов компании, которые можно выделить на устранение бреши.

Недавно мы как раз рассказывали о том, как компания Cisco отказалась исправлять критические уязвимости в старом, но до сих пор используемом оборудовании. А вот корпорация Microsoft в своё время показала себе с лучшей стороны , и выпустила обновление безопасности даже для совсем старых операционных систем, лишь бы уберечь пользователей от возможной угрозы.

Будем надеяться, что как можно больше компаний в будущем будут следовать примеру Microsoft и устранять критические уязвимости даже в уже неподдерживаемом программном обеспечении.

Темы:ИсследованиеУгрозыOrange Cyberdefense
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...