Ответить на комментарий

Картинка: 

Количество публично раскрытых уязвимостей в 2011 сократилось, равно как и доля ошибок, которые эксплуатировались. Сказывается безопасная разработка?

Атакующие в этом году достигли серьезных успехов, но общий вектор атаки - эксплуатация уязвимостей в ПО - похоже идет на спад.

Согласно предварительным данным компаний, собирающих информацию об уязвимостях, количество публично раскрытых уязвимостей в этом году сократилось по сравнению с предыдущим, и намного меньше ошибок были использованы для проведения атак.

Компания Symantec, например, ожидает в этом году увидеть падение общего числа публично раскрытых уязвимостей на 30%, а критических уязвимостей – на 10%. Ежегодно компания фиксирует около 4 500 – 5 500 уязвимостей, однако в 2010 году их количество достигло рекордных 6 253. Меньше всего уязвимостей было замечено за последние 6 месяцев этого года. Ту же самую тенденцию проследили и команды по исследованию безопасности X-Force компании IBM.

Одной из возможных причин снижения могло стать то внимание, которое компании вроде Microsoft и Adobe сосредоточили на безопасной разработке, что могло вылиться в значительное сокращение уязвимостей, которые легко обнаружить. Об этом сказал Джошуа Тэлбот, начальник службы безопасности компании Symantec. "Если атакующий в курсе, что данная платформа имеет средства защиты, и что эксплуатировать уязвимость на ней будет сложно, он может решить отказаться от своей затеи", - объяснил Тэлбот.

Вдобавок к этому, хакер может отказаться от своего намерения если знает, что Windows, Linux, Mac OS, равно как и многие приложения, которые работают на этих платформах, были перестроены с добавлением в них функций безопасности, которые усложняют задачу эксплуатирования уязвимости. Пока атакующие продолжали заниматься уязвимостями в Adobe Acrobat, Java и MS Office, исследователи безопасности направили свои усилия на аудит более нишевого ПО вроде систем промышленного контроля, автомобильных систем и мобильных устройств.

"Сложно с уверенностью сказать, что движет исследователями и хакерами", - сказал Тэлбот. "Но есть разработки, которые затрудняют создание эксплойтов, и которые могли стать для хакеров мотивацией оставлять уязвимости и эксплойты при себе, а не сообщать о них".

Взять, к примеру, Adobe. Исследователи стали заниматься компанией в 2008 году. Количество уязвимостей, о которых было сообщено компании, сократилось в 2009 и достигло пика в 2010. В этом году, однако, компания испытывает значительный спад в уязвимостях. Количество сообщений об ошибках в Flash Player сократилось на половину, а в Acrobat – на две трети. Об этом рассказал Брэд Аркин, главный директор по безопасности в Adobe.

"Для нас важно повысить стоимость обнаружения эксплойта, сделав его более дорогим", - отметил Аркин. "Мы очень сосредоточенно над этим работаем".

Эту тенденцию в своих данных заметила и Microsoft. В 2011 году число критических уязвимостей в компании достигло минимального значения за последние 6 лет. К тому же, компания в этом году выпустила 99 бюллетеней, которых в прошлом году было выпущено 106. В абсолютных цифрах это означает, что в этом году было меньше всего критических уязвимостей с 2005 года.

"Тот факт, что год за годом мы наблюдаем снижение процента критических проблем и бюллетеней, говорит о прогрессе, который делают продуктовые группы, создавая более защищенное ПО", - написал в блоге Майк Риви, главный директор Microsoft Security Response Center, комментируя данные.

С того самого момента, когда компания создала подразделение Trustworthy Computing в январе 2002, она начала заниматься искоренением уязвимостей в своей продукции, улучшением процесса разработки, и защите своих операционных систем и приложений от воздействия эксплойтов. Последние данные говорят о том, что компания преуспела.

Хотя фокус на безопасности основных платформ и приложений и укрепил ПО, сделав его более устойчивым к действию эксплойтов, исследователи уже пошли дальше и стали заниматься системами, которым недостает строгой проверки. Это и встраиваемые автомобильные системы, и системы промышленного контроля, и медицинские приборы. По мере того, как все больше подобных устройств будут получать доступ в интернет, хакеры будут искать способы их атаковать. Об этом сказал Вольфганг Кендек, технический директор по управлению уязвимостями из Qualys.

"Учитывая тот темп, с которым мы подключаем все больше и больше устройств к интернету, думаю, недостатка в уязвимостях у нас не будет", - сказал он.

xakep.ru