В 2013 общее количество раскрытых уязвимостей сократилось на 6%
В 2013 г. общее количество раскрытых уязвимостей сократилось на 6% по сравнению с годом ранее; количество критичных уязвимостей сокращалось четвертый год; в 2013 году — на 9%. Эти данные, хотя и дают основание для сдержанного оптимизма, свидетельствуют также и о том, что информация об обнаруженных уязвимостях становится предметом торговли на «черном» рынке. Такие данные приводятся в отчете Hewlett-Packard Cyber Risk Report за 2013 год.
«Сегодня мы имеем дело не с хакерами-одиночками, а с хорошо организованным и щедро спонсируемым киберподпольем, — заявил Джейкоб Уэст (Jacob West), директор по технологиям, Enterprise Security Products, HP. — Для того чтобы эффективно бороться с этой «чумой XXI века», необходимо активно развивать методы киберзащиты и, что не менее важно, распространять информацию о них».
Около 80% проанализированных приложений содержали уязвимости вне исходного кода. Иными словами, сегодня даже качественное легальное ПО при неверной настройке может стать источником угрозы. Значение термина «вредоносное ПО» достаточно размыто, что затрудняет выявление и классификацию подобных программ. Специалисты HP проанализировали около полумиллиона мобильных приложений для Android. Выяснилось, что производители антивирусов и поставщики мобильных платформ вкладывают в понятие «вредоносное ПО» самое разное значение.
Согласно отчету, 46% мобильных приложений неправильно используют технологии шифрования. Наибольшую опасность для пользователей Java представляют уязвимости, связанные с обходом песочницы. Хакеры взяли на вооружение новую тактику — сегодня они предпочитают атаковать сразу несколько известных и новых уязвимостей, чтобы повысить шансы взлома системы.
«В условиях увеличения количества кибератак и, как следствие, растущей потребности в защищенном ПО необходимо исключить возможность ненамеренного раскрытия информации, которая может оказаться «на руку» хакерам. Разработчики и пользователи должны хорошо представлять себе угрозы безопасности в коде, разрабатываемом третьими сторонами, особенно если речь идет о гибридных платформах разработки мобильных приложений. Необходимо выработать свод рекомендаций по кибербезопасности для защиты приложений и их пользователей», — отмечают авторы отчета.