บ้าน Securitywatch แฮกเกอร์กำหนดเป้าหมายแอปบุคคลที่สามซึ่งเป็นโปรแกรมยอดนิยมพูดถึงการตรวจสอบช่องโหว่ของ Secunia

แฮกเกอร์กำหนดเป้าหมายแอปบุคคลที่สามซึ่งเป็นโปรแกรมยอดนิยมพูดถึงการตรวจสอบช่องโหว่ของ Secunia

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

Secunia บริษัท รักษาความปลอดภัยของเดนมาร์กเชี่ยวชาญด้านการจัดการช่องโหว่ในทุกระดับ คุณอาจใช้ Secunia Personal Software Inspector 3.0 เพื่อค้นหาและแก้ไขช่องโหว่ที่ไม่ได้เปรียบบนคอมพิวเตอร์ที่บ้านหรือสำนักงานขนาดเล็กของคุณ ตัวตรวจสอบซอฟต์แวร์ขององค์กรที่สอดคล้องกันทำสิ่งเดียวกันสำหรับทั้งองค์กรด้วยคอนโซลการจัดการส่วนกลาง Telemetry จากเครื่องมือเหล่านี้และแหล่งข้อมูลอื่น ๆ ของเว็บอัจฉริยะทำให้ Secunia มีมุมมองที่ไม่เหมือนใครในโลกแห่งความอ่อนแอ Secunia Vulnerability Review 2013 สรุปข้อมูลเชิงลึกเหล่านั้นและนำเสนอความประหลาดใจเล็กน้อย

ผลิตภัณฑ์จากบุคคลที่สาม

ไม่มีใครจะประหลาดใจเมื่อทราบว่าจำนวนช่องโหว่ที่ทราบนั้นมีจำนวนเพิ่มขึ้นทุกปีหรือส่วนใหญ่อาศัยการโจมตีเครือข่ายระยะไกลเพื่อเจาะเครือข่ายที่มีช่องโหว่ อย่างไรก็ตามข้อบกพร่องที่สำคัญในระบบปฏิบัติการและโปรแกรม Microsoft กำลังกลายเป็นส่วนที่เล็กลงและเล็กลงของทั้งหมด Secunia รายงานว่าร้อยละ 86 ของช่องโหว่ที่ใช้งานอยู่ในปี 2555 ส่งผลกระทบต่อผลิตภัณฑ์ของบุคคลที่สามเช่น Java, Flash และ Adobe Reader ในปี 2550 ช่องโหว่ของบุคคลที่สามมีสัดส่วนน้อยกว่าร้อยละ 60 ของทั้งหมด

ในด้านบวกหน้าต่างที่เป็นอันตรายระหว่างการค้นพบช่องโหว่และการสร้างโปรแกรมแก้ไขมีขนาดเล็กลง Secunia รายงานความพร้อมใช้งานของ patch ในวันเดียวกันสำหรับ 80% ของภัยคุกคามเหล่านี้ในปี 2012 เพิ่มขึ้นจาก 60% ในปี 2550 เล็กน้อยซึ่งเหลือ 20 เปอร์เซ็นต์ที่ไม่มี patch ในวันเดียวกันหรือภายใน 30 วัน แต่ยังคงรักษาไว้ การอัปเดตซอฟต์แวร์ทั้งหมดของคุณจะช่วยให้คุณได้รับแพตช์ในวันเดียวกันทั้งหมด

ความไม่มั่นคง SCADA

รายงานการตรวจสอบประจำปี 2556 เกี่ยวกับช่องโหว่ในระบบ SCADA (การควบคุมดูแลและเก็บข้อมูล) ระบบเหล่านี้ควบคุมโรงงานโรงไฟฟ้าเครื่องปฏิกรณ์นิวเคลียร์และการติดตั้งทางอุตสาหกรรมที่สำคัญอื่น ๆ หนอน Stuxnet ที่น่าอับอายทำลาย centrifuges เสริมสมรรถนะยูเรเนียมในอิหร่านด้วยการเข้าควบคุม SCADA

Secunia กล่าวว่า "ซอฟต์แวร์ SCADA วันนี้อยู่ในช่วงซอฟต์แวร์กระแสหลักเมื่อ 10 ปีที่แล้ว … ช่องโหว่จำนวนมากยังคงไม่สามารถแก้ไขได้นานกว่าหนึ่งเดือนในซอฟต์แวร์ SCADA" ผังแสดงเวลาแบบแพตช์ของช่องโหว่ SCADA ที่เป็นตัวแทนพบว่ามีหลายกลุ่มที่มีความเสี่ยงสูงยังคงไม่ได้รับการแก้ไขมานานกว่า 90 วัน

ในทางทฤษฎีแล้วระบบ SCADA ควรมีความเสี่ยงน้อยลงเพราะไม่ได้เชื่อมต่อกับอินเทอร์เน็ต ในทางปฏิบัติไม่ได้เป็นเช่นนั้นเสมอไปและแม้แต่การเชื่อมต่อเครือข่ายท้องถิ่นอาจถูกโจมตีจากผู้โจมตี "ช่องว่างอากาศ" ทั้งหมดที่ไม่มีการเชื่อมต่อเครือข่ายใด ๆ ไม่ได้ป้องกันเครื่องหมุนเหวี่ยง Stuxnet พวกเขาตกเป็นเหยื่อของช่างไดรฟ์ USB ที่ติดเชื้อโดยไม่รู้ตัว ผู้ค้าซอฟต์แวร์ SCADA เห็นได้ชัดว่ามีงานต้องทำเท่าที่รักษาความปลอดภัยและผลักดันแพทช์

แฮกเกอร์ไปเพื่อทองคำ

ช่องโหว่แบบ zero-day คือช่องโหว่ที่เพิ่งถูกค้นพบช่องโหว่ที่ไม่มีโปรแกรมแก้ไขอยู่ รายงานของ Secunia ประกอบด้วยแผนภูมิข้อมูลที่รายงานจำนวนวันที่พบในแต่ละปีใน 25 อันดับโปรแกรมที่ได้รับความนิยมสูงสุดและใน 50, 100, 200, และ 400 อันดับแรกตัวเลขโดยรวมแตกต่างกันไปในแต่ละปี 15 ศูนย์ต่อวัน

สิ่งที่น่าสนใจกว่าคือภายในปีนั้นจำนวนที่เปลี่ยนแปลงนั้นแทบจะไม่เปลี่ยนแปลงเมื่อกลุ่มของโปรแกรมที่อาจถูกบุกรุกขยายตัว เกือบทุกวันศูนย์ส่งผลกระทบต่อโปรแกรมยอดนิยม ที่จริงแล้วสมเหตุสมผลมาก การค้นพบข้อบกพร่องของโปรแกรมที่ไม่เคยมีใครพบมาก่อนต้องใช้การวิจัยและการทำงานอย่างหนัก มันเหมาะสมแล้วที่แฮ็กเกอร์ให้ความสนใจกับโปรแกรมที่มีการเผยแพร่อย่างกว้างขวางที่สุด การหาช่องโหว่ที่ควบคุมระบบทั้งหมดของเหยื่อไม่คุ้มค่ามากนักหากระบบเดียวในล้านระบบติดตั้งโปรแกรมที่มีช่องโหว่

เรียนรู้เพิ่มเติม

ฉันได้คะแนนสูงสุดแล้ว แต่มีอะไรอีกมากมายให้เรียนรู้จากรายงานความเสี่ยงของ Secunia คุณสามารถดาวน์โหลดรายงานทั้งหมดได้จากเว็บไซต์ของ Secunia หากรายงานฉบับเต็มดูเหมือนไม่น่าเป็นห่วง นักวิจัยของ Secunia ได้เตรียมอินโฟกราฟิกส์ที่ได้รับความนิยมสูงสุด

แฮกเกอร์กำหนดเป้าหมายแอปบุคคลที่สามซึ่งเป็นโปรแกรมยอดนิยมพูดถึงการตรวจสอบช่องโหว่ของ Secunia