Według nowego raportu Risk Based Security, liczba zgłoszonych luk w 2018 roku jest o siedem procent niższa niż w tym samym okresie w zeszłym roku.
To jednak nie wszystkie dobre wieści, ponieważ 24,9 procent zgłoszonych luk w 2018 roku nie ma obecnie znanego rozwiązania, co przypomina, że chociaż łatanie jest bardzo ważne, nie można na nim polegać wyłącznie jako remedium.
Luki w zabezpieczeniach z wynikiem CVSSv2 9.0+, często określane jako „krytyczne”, stanowiły 15,4% wszystkich opublikowanych luk w trzecim kwartale. Ponadto własna VulnDB firmy Risk Based Security opublikowała do końca trzeciego kwartału 2018 r. O 4823 więcej luk w zabezpieczeniach niż CVE / NVD.
„Ważne jest, aby zrozumieć ograniczenia rozwiązań opartych na CVE / NVD oraz ryzyko, na jakie narażone są organizacje, nie wprowadzając najbardziej kompleksowych informacji na temat luk w zabezpieczeniach dostępnych w swoich rozwiązaniach do zarządzania ryzykiem” – mówi Carsten Eiram, dyrektor ds. Badań w zakresie bezpieczeństwa opartego na ryzyku. „Obejmują one nie tylko podzbiór zgłoszonych luk w zabezpieczeniach, ale z analizy wynika, że rozwiązania oparte na CVE / NVD są opóźnione o około 7–12 tygodni. Poważne ryzyko, na jakie narażona jest organizacja, która nie ostrzegła o nowej luce w odpowiednim czasie – jeśli w ogóle – jest oczywiste ”.
Spośród wszystkich luk ujawnionych w trzecim kwartale 2018 r. 67,3% wynika z niewystarczającej lub niewłaściwej weryfikacji danych wejściowych. Chociaż pod tym parasolem mieści się wiele luk w zabezpieczeniach, jasne jest, że dostawcy wciąż mają trudności z dokładnym sprawdzaniem poprawności danych wprowadzanych przez użytkowników. Dojrzały cykl życia oprogramowania i pewna forma audytu może pomóc rozwiązać wiele z tych problemów i znacznie zmniejszyć zagrożenie ze strony atakujących.
„Znaczenie kompleksowego pokrycia luk w zabezpieczeniach jest jasne, ale jeszcze ważniejsze jest dysponowanie aktualnymi informacjami, których nie można zaniżać. Nadal widzimy luki, które są aktywnie wykorzystywane na wolności na długo, zanim większość organizacji zda sobie z nich sprawę. To niefortunne sytuacji, w której można dowiedzieć się o luce w zabezpieczeniach po wyrządzeniu szkody ”- dodaje Brian Martin, wiceprezes ds. analizy luk w zabezpieczeniach opartych na ryzyku.
Więcej informacji można znaleźć w pełnym raporcie dostępnym w witrynie poświęconej bezpieczeństwu opartemu na ryzyku.
Źródło obrazu: SergeyNivens / depositphotos.com
