Информационные технологииStfw.Ru 🔍
🕛

Анализ уязвимостей за последние 25 лет

Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (PDF) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет.
Компания Sourcefire, известная разработкой таких свободных проектов, как Snort и ClamAV, опубликовала (PDF) результаты анализа тенденций в области выявления уязвимостей за последние 25 лет. В качестве источников для классификации уязвимостей использовалась база данных CVE (Common Vulnerabilities and Exposure), в которой накоплена информация о проблемах безопасности начиная с 1988 года, а также сведения об уязвимостях из базы NVD (National Vulnerability Database), поддерживаемой Национальным институт стандартов и технологий США (NIST).

Пик выявления уязвимостей пришёлся на 2006 и 2007 годы, после чего до 2011 года наблюдался спад, но в 2012 году вновь обнаружилась тенденция роста:



При этом, если рассматривать только опасные уязвимости, то в 2012 году продолжает наблюдаться спад и видно, что прирост в основном связан с выявлением неопасных проблем безопасности:




Также в последние несколько лет наблюдается уменьшение числа опасных уязвимостей в процентном отношении от общего числа проблем с безопасностью:



При разборе уязвимостей, которым присвоен критический уровень опасности, 35% таких уязвимостей вызваны переполнением буфера, 8% - некорректной организацией управления доступом и 6% недостаточной проверкой корректности входных данных:



Из общего числа уязвимостей лидируют проблемы, позволяющие осуществить подстановку кода HTML/javascript на страницы (Cross-Site Scripting, XSS), но среди проблем с высоким уровнем опасности XSS-уязвимости почти не встречаются. При выборке трех самых распространённых уязвимостей года, XSS входит число таких проблем с 2005 года. По числу уязвимостей также лидируют проблемы, связанные с переполнением буфера и подстановкой SQL-кода. Тем не менее, в 2012 году наблюдается выход в число лидеров проблем, связанных с обходом ограничений доступа, а в 2011 году уязвимостей из-за недостаточной проверки входных данных.




При рассмотрении распределения интенсивности выявления всех уязвимостей по отдельным продуктам, отмечено, что больше всего уязвимостей найдено в ядре Linux. В абсолютных показателях по числу уязимостей лидируют Windows и Mac OS X, но данные системы представлены в отчёте с разбивкой по типам и версиям продуктов (например, вместо одной системы Mac OS X было упомянуто три продукта, а число редакций Windows составило 13).



Если рассматривать только опасные уязвимости, то ядро Linux даже не вошло в десятку лидеров:



При оценке критических проблем лидируют браузеры, Java и Flash:



При суммировании данных по типам продуктов, исключив мобильные платформы, для Windows зафиксировано 1114 уязвимостей, для Mac OS X - 827, а для Linux - 1752 (были учтены уникальые CVE, в которых упомянуты такие дистрибутивы, как Ubuntu и RHEL). С учетом обилия поставляемого в дистрибутивах Linux программного обеспечения, в то время как в Windows и Mac OS X пользователю предлагается почти голая операционная система, лидерство Linux-продуктов по числу уязвимостей не вызывает удивления.

Также по теме:
Каталог лучших, бесплатных программ.