บ้าน Securitywatch การตอบสนองด้านความปลอดภัยในปี 2556 เร็วขึ้นยังไม่เร็วพอ

การตอบสนองด้านความปลอดภัยในปี 2556 เร็วขึ้นยังไม่เร็วพอ

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

สะพานไฮเทคของ บริษัท ในสวิตเซอร์แลนด์แจ้งข่าวเมื่อปีที่แล้วโดยให้ Yahoo เสนอมากกว่าเสื้อยืดเป็นข้อผิดพลาด การวิจัยแบบนั้นไม่ใช่สิ่งที่นักวิจัย HTB ทำทุกวัน เป้าหมายหลักของพวกเขาคือการระบุช่องโหว่และปล่อยคำแนะนำด้านความปลอดภัยที่เกี่ยวข้องกับการค้นพบของพวกเขา กลุ่มเปิดตัว 62 คำแนะนำในปี 2013 และเห็นการปรับปรุงโดยรวมในการตอบสนองของอุตสาหกรรม

ซ่อมแซม Speedier

ตามรายงาน HTB ที่เพิ่งเปิดตัวผู้จำหน่ายได้ปล่อยแพทช์สำหรับปัญหาที่รายงานมากขึ้นอย่างรวดเร็วกว่าในปี 2012 นอกจากนี้ "ผู้ค้าส่วนใหญ่แจ้งเตือนผู้ใช้ปลายทางเกี่ยวกับช่องโหว่ในลักษณะที่ยุติธรรมและรวดเร็ว" ซึ่งในอดีต แก้ไขปัญหาอย่างเงียบ ๆ หรือลดความเสี่ยงลง รายงานดังกล่าวเรียก Mijosoft (ไม่ใช่ Microsoft) สำหรับแนวทางปฏิบัติด้านความปลอดภัยที่ไม่ดี

เวลาเฉลี่ยในการแก้ไขช่องโหว่ที่สำคัญลดลงจาก 17 วันในปี 2555 เป็น 11 วันในปี 2556 ซึ่งเป็นการลดลงที่น่าประทับใจ ช่องโหว่ที่มีความเสี่ยงปานกลางนั้นทำได้ดีกว่าโดยเริ่มจาก 29 วันถึง 13 วัน นั่นเป็นความคืบหน้า แต่มีที่ว่างสำหรับการปรับปรุง รายงานตั้งข้อสังเกตว่า "การแก้ไขช่องโหว่ที่สำคัญ 11 วันยังคงมีความล่าช้าค่อนข้างนาน"

ความซับซ้อนที่เพิ่มขึ้น

จากรายงานพบว่าการที่คนร้ายทำการระบุและใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงยิ่งขึ้น พวกเขาต้องใช้เทคนิคต่าง ๆ เช่นการโจมตีที่ถูกล่ามโซ่ซึ่งการโจมตีช่องโหว่ที่สำคัญนั้นเป็นไปได้ก็ต่อ เมื่อ ประสบความสำเร็จในการเจาะช่องโหว่ที่ไม่สำคัญ

ช่องโหว่ค่อนข้างน้อยได้ถูกลดระดับลงจากความเสี่ยงสูงหรือที่สำคัญถึงความเสี่ยงปานกลางในปี 2013 โดยเฉพาะช่องโหว่เหล่านี้เป็นช่องโหว่ที่สามารถดำเนินการได้หลังจากที่ผู้โจมตีได้รับการรับรองหรือเข้าสู่ระบบแล้วเท่านั้นรายงานระบุว่านักพัฒนา ผู้ใช้ที่เชื่อถือได้สามารถเข้าถึงได้เนื่องจากบางฝ่ายที่เชื่อถือได้ "ในความเป็นจริงอาจเป็นศัตรูได้"

นักพัฒนาในบ้านจำเป็นต้องให้ความสำคัญกับความปลอดภัยเป็นพิเศษ การฉีด SQL และการเขียนสคริปต์ข้ามไซต์เป็นการโจมตีที่พบบ่อยที่สุดและแอปพลิเคชันในบ้านเป็นเหยื่อที่พบบ่อยที่สุดของการโจมตีดังกล่าวที่ 40 เปอร์เซ็นต์ ปลั๊กอินระบบการจัดการเนื้อหา (CMS) นั้นถัดไปโดยมี 30 เปอร์เซ็นต์ตามด้วย CMS ขนาดเล็กที่ 25 เปอร์เซ็นต์ ช่องโหว่ที่ CMSs ขนาดใหญ่เช่น Joomla และ WordPress สร้างข่าวใหญ่ แต่จาก HTB พวกเขาคิดเป็นเพียงร้อยละห้าของทั้งหมด แพลตฟอร์มบล็อกและ CMS จำนวนมากยังคงมีช่องโหว่เพียงเพราะเจ้าของไม่สามารถทำการแก้ไขได้อย่างเต็มที่หรือไม่สามารถกำหนดค่าได้อย่างเหมาะสม

ดังนั้นคุณจะหลีกเลี่ยงการทำให้เว็บไซต์หรือ CMS ของคุณถูกบุกรุกได้อย่างไร รายงานสรุปว่าคุณต้องการ "การทดสอบแบบไฮบริดเมื่อการทดสอบอัตโนมัติถูกรวมเข้ากับการทดสอบความปลอดภัยด้วยตนเองโดยมนุษย์" ไม่น่าแปลกใจเลยที่จะเรียนรู้ว่า High Tech Bridge เสนอการทดสอบประเภทนี้อย่างแน่นอน แต่พวกเขาพูดถูก เพื่อความปลอดภัยที่แท้จริงคุณต้องการให้คนดี ๆ โจมตีและแสดงให้คุณเห็นว่าคุณต้องแก้ไขอะไร

การตอบสนองด้านความปลอดภัยในปี 2556 เร็วขึ้นยังไม่เร็วพอ