ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
サードパーティ製品がヒット
既知の脆弱性の総数が年々増加していること、またはほとんどが脆弱なネットワークに侵入するためにリモートネットワーク攻撃に依存していることを知って誰も驚かないでしょう。 ただし、Microsoftオペレーティングシステムおよびプログラムの重大な欠陥は、全体の中でますます小さくなっています。 Secuniaは、2012年のアクティブな脆弱性の86%がJava、Flash、Adobe Readerなどのサードパーティ製品に影響を及ぼしたと報告しています。 2007年には、サードパーティの脆弱性が全体の60%未満を占めました。
プラス面として、脆弱性の発見からパッチの作成までの危険な期間が短くなっています。 Secuniaは、2007年の60%をわずかに上回る2012年のこれらの脅威の80%について、同日パッチの可用性を報告しています。これにより、同じ日または30日以内にパッチがない20%が残りますが、ソフトウェアをすべて更新すると、それらの同日パッチをすべて確実に入手できます。
SCADAの不安
2013年のレビューでは、SCADA(監視制御およびデータ収集)システムの脆弱性に関するレポートを作成しています。 これらのシステムは、工場、発電所、原子炉、およびその他の非常に重要な産業施設を制御します。 悪名高いStuxnetワームは、SCADAコントローラーを引き継ぐことにより、イランのウラン濃縮遠心分離機を破壊しました。
Secuniaによると、「今日のSCADAソフトウェアは、主流のソフトウェアが10年前の段階にあります。多くの脆弱性は、SCADAソフトウェアに1か月以上パッチが適用されていません。」 代表的なSCADA脆弱性のパッチ適用までの期間のチャートから、ハイリスクカテゴリのいくつかが90日以上パッチ未適用のままであることがわかります。
理論的には、SCADAシステムはインターネットに接続されていないため、脆弱性が少ないはずです。 実際には、常にそうとは限らず、ローカルネットワーク接続でさえ攻撃者によって危険にさらされる可能性があります。 ネットワーク接続がまったくない完全な「エアギャップ」は、Stuxnet遠心分離機を保護しませんでした。 彼らは、知らないうちに技術者が挿入した感染したUSBドライブの犠牲になりました。 明らかに、SCADAソフトウェアベンダーには、セキュリティの維持とパッチの公開に関する作業がいくつかあります。
ハッカーは金のために行く
ゼロデイ脆弱性とは、発見されたばかりの脆弱性であり、パッチが存在しない脆弱性です。 Secuniaのレポートには、最も人気のある上位25のプログラム、および上位50、100、200、および400で毎年見つかったゼロデイの数を報告する有益なチャートが含まれています。 15ゼロデイ。
さらに興味深いのは、1年以内に、危殆化する可能性のあるプログラムのプールが増えても数値はほとんど変わらないことです。 ほとんどすべてのゼロデイは、最も人気のあるプログラムに影響します。 それは実際には非常に理にかなっています。 誰も発見したことのないプログラムの欠陥を発見するには、多くの研究と努力が必要です。 ハッカーが最も広く配布されているプログラムに集中することは理にかなっています。 被害者のシステムを完全に制御するエクスプロイトは、脆弱なプログラムが100万台に1台しかインストールされていない場合、あまり価値がありません。
学ぶためにもっと
私はハイスポットを打ちましたが、Secuniaの脆弱性レポートから学ぶべきことはまだたくさんあります。 SecuniaのWebサイトからレポート全体をダウンロードできます。 完全なレポートが少し圧倒されるように思われる場合でも、心配しないでください。 Secuniaの研究者はまた、すべてのハイスポットにヒットするインフォグラフィックを準備しました。
