В последнее время больше уязвимостей все чаще обнаруживаются в Linux чем в операционных системах от Microsoft. Такая статистика не должна приводить к выводу, что какая то из операционных систем является более безопасной. В любом программном обеспечении, найдут лазейки для взлома.

В среднем 19 новых уязвимостей в день появлялось в 2014 г., это вытекает из информации, предоставленной американской компанией National Vulnerability Database. NVD предоставляет список уязвимостей, обнаруженных в системе безопасности приложений. Стоит взглянуть на отчет поближе, и подумать, какие намечаются тенденции. Какого рода уязвимости обнаруживаются, являются ли они критическими (например, которые делают возможным удаленное выполнение кода) и будет ли видно увеличение количества обнаруживаемых ошибок? В каких приложениях обнаруживает больше всего уязвимостей?

Такие цифры важны, потому что для продуктов, которые занимают высокие места в списке самых уязвимых приложений, патчи безопасности выпускаются чаще всего. Чтобы обеспечить безопасность корпоративной инфраструктуры, ИТ-администраторы должны отслеживать этот список и для наиболее уязвимых приложений регулярно проверять наличие новых патчей.

Больше уязвимостей

В течение 2014 года. база NVD пополнилась 7038 новыми уязвимостями безопасности. Это число значительно больше, чем в 2013 году. Тенденция роста сохраняется уже несколько лет. Почти четверть из этого числа (24%) была отмечена как уязвимости „высокого риска”. Это процент меньше, чем в 2013 году. Однако в абсолютных значениях число этого типа уязвимостей увеличилось. Основным источником опасности являются приложения – обнаруженные в них уязвимости составляют 80% из всех. Процент уязвимостей в операционных системах составил 13%, а 4% это уязвимости оборудования. Интересно, что операционные системы от Microsoft, несмотря на то, что все еще обнаруживают в них большое количество уязвимостей, выпали из первой тройки, в которой “царят” Mac OS X, iOS и на первом месте ядро Linux.

Читайте также:  В Google Chrome может скоро появиться возможность отключать веб-сайты

С точки зрения безопасности 2014 был трудным годом для пользователей Linux. Одни из крупнейших, обнаруженных в этот период уязвимостей обнаруживаются в приложениях, которые, как правило, работают в linux системах. Например, Heartbleed это критическая уязвимость, существующая в OpenSSL, а Shellshock- это уязвимость найденная в командной строке Bash.

Heartbleed уязвимость в OpenSSL наделавшая очень много шума
Heartbleed уязвимость в OpenSSL наделавшая очень много шума

Список самых уязвимых приложений, однако, очень похожая на такой же с 2013 года. Не должно удивлять, что браузеры это категория, в которой сообщается, больше всего уязвимостей. Они являются инструментом, дающим доступ к ресурсам сервера, а также используются для распространения вредоносного кода в клиентских устройствах. Большое количество уязвимостей обнаружено в бесплатных продуктах Adobe и в Java, но браузер все еще занимают вершину таблицы уже шестой год подряд. Firefox оказался на первом месте в 2009 и 2012, Google Chrome в 2010 и 2011, в свою очередь, Internet Explorer был на вершине в 2013 и 2014 года.

Собственный отчет о «дырах» в приложениях (Vulnerability Review 2015) опубликовала Secunia, компания из индустрии ИТ-безопасности. В 2014 году зарегистрировала 15 435 уязвимостей в 3 870 приложениях. Наибольшее количество ошибок возникло в браузере Google Chrome (504), второе место занял Oracle Solaris (483), третье Gentoo Linux (350), а на четвертом оказался Internet Explorer (289). Apple Mac OS X занял 13. место (147), Windows 8, место 20. (105). Среди систем от Microsoft об наибольшем числе уязвимостей сообщается в Windows 8, но их количество в 2014 году было на 33% меньше чем годом ранее. В свою очередь, в Windows 7 обнаружен “всего” 33 уязвимости в 2014 году. Годом ранее нашли аж 102.

Читайте также:  iOS 11 придет на iPhone и iPad 19 сентября

Однако в первой двадцатке доминирует программное обеспечение IBM – тут разместилось аж 8 продуктов этого производителя. Это, в частности, Tivoli Endpoint Manager, Tivoli Storage Productivity Center, IBM Websphere Application Server, IBM Domino и IBM Lotus Notes. Нужно добавить, что программы, происходящих от одного производителя, могут содержать одни и те же ошибки, так что ситуация с IBM может быть немного лучше чем это видно из сухих статистических данных.

Превентивные меры

Чтобы обеспечить безопасность корпоративной ИТ-инфраструктуры, администраторы должны сосредоточиться (обновлять в первую очередь) на следующем программном обеспечении:

— операционных систем (Windows, Linux, Mac OS X);
— веб-браузерах;
— Java;
— бесплатных продуктах Adobe (Flash Player, Reader, Shockwave Player, AIR).

Необходимо подчеркнуть, что статистические данные, такие как опубликованные NVD ли Secunię не предназначены для того, чтобы обвинять кого-либо. Их целью есть рассказать пользователям, что любое программное обеспечение, и даже оборудование, могут содержать дыры в безопасности. В то же время стоит добавить, что частота публикации патчей безопасности растет вместе с ростом популярности данного приложения.

Для ИТ-администратора такие заявление, как путеводитель, указывающий на области, на которые следует обратить особое внимание.