האקרים ממקדים אפליקציות של צד שלישי, תוכניות פופולריות, אומר בדיקת פגיעות של secunia

חברת האבטחה הדנית Secunia מתמחה בניהול פגיעות, בכל הרמות. יתכן שהשתמשת במפקח התוכנה האישי שלהם ב- Secunia כדי לאתר ולתקן פגיעויות שלא נשלחו במחשב הביתי או במשרד הקטן שלך. מפקח התוכנה התאגידי המקביל עושה את אותו הדבר עבור ארגון שלם, עם קונסולת ניהול מרכזית. טלמטריה מכלים אלה וממקורות אחרים של אינטליגנציית רשת מקנה לסקוניה מבט ייחודי על עולם הפגיעויות. סקירת הפגיעות של Secunia לשנת 2013 מסכמת את התובנות הללו ומציעה כמה הפתעות.

מוצרים של צד שלישי

איש לא יופתע לגלות כי המספר הכולל של פגיעויות ידועות גדל משנה לשנה, או שרובם מסתמכים על מתקפת רשת מרחוק כדי לחדור לרשתות פגיעות. עם זאת, ליקויים משמעותיים במערכות ההפעלה של מיקרוסופט ובתוכניות הופכים לחלק קטן יותר וקטן יותר מהסך הכל. Secunia מדווחת כי 86 אחוז מהפגיעויות הפעילות בשנת 2012 השפיעו על מוצרים של צד שלישי כמו Java, Flash ו- Adobe Reader. בשנת 2007, הפגיעויות של צד ג 'היוו פחות מ- 60 אחוז מסך כל אלה.

בצד החיצוני, החלון המסוכן בין גילוי פגיעות ויצירת תיקון הולך וקטן. Secunia מדווחת על זמינות תיקונים באותו יום עבור 80 אחוזים מהאיומים הללו בשנת 2012, לעומת קצת יותר מ -60 אחוז בשנת 2007. זה משאיר 20 אחוזים שאין להם תיקון באותו יום, או אפילו תוך 30 יום, אך שמירה על כל התוכנות המעודכנות שלך יבטיחו שתקבל את כל התיקונים ההם באותו יום.

SCADA חוסר ביטחון

סקירת 2013 מדווחת על פגיעויות במערכות SCADA (בקרת פיקוח ורכישת נתונים). מערכות אלה שולטות במפעלים, תחנות כוח, כורים גרעיניים ומתקנים תעשייתיים משמעותיים אחרים. תולעת Stuxnet הידועה לשמצה הרסה צנטריפוגות העשרת אורניום באיראן בכך שהשתלטה על בקרי ה- SCADA שלהם.

לטענת Secunia, "תוכנת SCADA כיום נמצאת בשלב בו תוכנת המיינסטרים הייתה לפני 10 שנים… פגיעויות רבות נותרו ללא תחרות במשך יותר מחודש בתוכנת SCADA." תרשים מעת לעת של פגיעויות SCADA מייצגות מגלה כי מספר בקטגוריית הסיכון הגבוה נותרה ללא תחרות במשך יותר מ 90 יום.

בתיאוריה, מערכות SCADA צריכות להיות פחות פגיעות מכיוון שאינן מחוברות לאינטרנט. בפועל, זה לא תמיד המקרה, ואפילו חיבור רשת מקומי יכול להיפגע על ידי התוקפים. "פער אוויר" מוחלט, ללא חיבור רשת כלל, לא הגן על צנטריפוגות Stuxnet. הם נפלו קורבן לכונני USB נגועים שהוכנסו ללא ידיעה על ידי טכנאים. ספקיות של ספקי תוכנת SCADA עובדות על ביצוע שמירה על אבטחה ודחיקת טלאים.

האקרים הולכים על הזהב

פגיעות של אפס יום היא בעיה שזה עתה התגלתה, ופגיעות שלא קיימת תיקון בה. הדו"ח של Secunia כולל טבלה אינפורמטיבית המדווחת על מספר הימים האפסיים שנמצאים בכל שנה ב -25 התוכניות הפופולריות ביותר, ובחמישים, 100, 200 ו -400 הראשונים. המספרים הכוללים שונים זה מזה בשנה, והגיע לשיא בשנת 2011 עם 15 ימי אפס.

מה שמעניין יותר הוא שתוך שנה נתונה, המספרים כמעט ולא משתנים ככל שמאגר התוכניות שעשויות להיות בסכנה גדל. כמעט כל ימי האפס משפיעים על התוכניות הפופולריות ביותר. זה ממש הגיוני. גילוי ליקוי בתוכנית שאיש אחר לא מצא מעולם דורש הרבה מחקר ועבודה קשה. הגיוני רק שהאקרים יתרכזו בתוכניות המופצות ביותר. ניצול שלוקח שליטה מוחלטת על מערכת הקורבן אינו שווה הרבה אם רק מערכת אחת במיליון מותקנת על ידי התוכנית הפגיעה.

עוד ללמוד

פגעתי בנקודות הגבוהות, אבל יש עוד הרבה מה ללמוד מדו"ח הפגיעות של Secunia. ניתן להוריד את כל הדו"ח מאתר Secunia. אם הדוח המלא נראה קצת מכריע, אל תדאג. החוקרים של Secunia הכינו גם אינפוגרפיה הפוגעת בכל הנקודות הגבוהות.