Prawie jedna czwarta zg┼éoszonych luk w zabezpieczeniach nie ma znanego rozwi─ůzania

Prawie jedna czwarta zg┼éoszonych luk w zabezpieczeniach nie ma znanego rozwi─ůzania

Według nowego raportu Risk Based Security, liczba zgłoszonych luk w 2018 roku jest o siedem procent niższa niż w tym samym okresie w zeszłym roku.

To jednak nie wszystkie dobre wie┼Ťci, poniewa┼╝ 24,9 procent zg┼éoszonych luk w 2018 roku nie ma obecnie znanego rozwi─ůzania, co przypomina, ┼╝e ÔÇőÔÇőchocia┼╝ ┼éatanie jest bardzo wa┼╝ne, nie mo┼╝na na nim polega─ç wy┼é─ůcznie jako remedium.

Luki w zabezpieczeniach z wynikiem CVSSv2 9.0+, cz─Östo okre┼Ťlane jako ÔÇ×krytyczneÔÇŁ, stanowi┼éy 15,4% wszystkich opublikowanych luk w trzecim kwartale. Ponadto w┼éasna VulnDB firmy Risk Based Security opublikowa┼éa do ko┼äca trzeciego kwarta┼éu 2018 r. O 4823 wi─Öcej luk w zabezpieczeniach ni┼╝ CVE / NVD.

ÔÇ×Wa┼╝ne jest, aby zrozumie─ç ograniczenia rozwi─ůza┼ä opartych na CVE / NVD oraz ryzyko, na jakie nara┼╝one s─ů organizacje, nie wprowadzaj─ůc najbardziej kompleksowych informacji na temat luk w zabezpieczeniach dost─Öpnych w swoich rozwi─ůzaniach do zarz─ůdzania ryzykiemÔÇŁ – m├│wi Carsten Eiram, dyrektor ds. Bada┼ä w zakresie bezpiecze┼ästwa opartego na ryzyku. ÔÇ×Obejmuj─ů one nie tylko podzbi├│r zg┼éoszonych luk w zabezpieczeniach, ale z analizy wynika, ┼╝e ÔÇőÔÇőrozwi─ůzania oparte na CVE / NVD s─ů op├│┼║nione o oko┼éo 7ÔÇô12 tygodni. Powa┼╝ne ryzyko, na jakie nara┼╝ona jest organizacja, kt├│ra nie ostrzeg┼éa o nowej luce w odpowiednim czasie – je┼Ťli w og├│le – jest oczywiste ÔÇŁ.

Spo┼Ťr├│d wszystkich luk ujawnionych w trzecim kwartale 2018 r. 67,3% wynika z niewystarczaj─ůcej lub niew┼éa┼Ťciwej weryfikacji danych wej┼Ťciowych. Chocia┼╝ pod tym parasolem mie┼Ťci si─Ö wiele luk w zabezpieczeniach, jasne jest, ┼╝e dostawcy wci─ů┼╝ maj─ů trudno┼Ťci z dok┼éadnym sprawdzaniem poprawno┼Ťci danych wprowadzanych przez u┼╝ytkownik├│w. Dojrza┼éy cykl ┼╝ycia oprogramowania i pewna forma audytu mo┼╝e pom├│c rozwi─ůza─ç wiele z tych problem├│w i znacznie zmniejszy─ç zagro┼╝enie ze strony atakuj─ůcych.

ÔÇ×Znaczenie kompleksowego pokrycia luk w zabezpieczeniach jest jasne, ale jeszcze wa┼╝niejsze jest dysponowanie aktualnymi informacjami, kt├│rych nie mo┼╝na zani┼╝a─ç. Nadal widzimy luki, kt├│re s─ů aktywnie wykorzystywane na wolno┼Ťci na d┼éugo, zanim wi─Ökszo┼Ť─ç organizacji zda sobie z nich spraw─Ö. To niefortunne sytuacji, w kt├│rej mo┼╝na dowiedzie─ç si─Ö o luce w zabezpieczeniach po wyrz─ůdzeniu szkody ÔÇŁ- dodaje Brian Martin, wiceprezes ds. analizy luk w zabezpieczeniach opartych na ryzyku.

Wi─Öcej informacji mo┼╝na znale┼║─ç w pe┼énym raporcie dost─Öpnym w witrynie po┼Ťwi─Öconej bezpiecze┼ästwu opartemu na ryzyku.

Źródło obrazu: SergeyNivens / depositphotos.com