ビデオ: есс минус три вуху! оригинал (十一月 2024)
スイスのインフォセック企業、High-Tech Bridgeは昨年、Yahooを恥じてバグ報奨金として単なるTシャツ以上のものを提供することでニュースを出しました。 ただし、そのような研究は、HTBの研究者が毎日行うことではありません。 主な焦点は、脆弱性を特定し、それらの発見に関連するセキュリティアドバイザリをリリースすることです。 このグループは2013年に62件のアドバイザリをリリースし、業界の応答性が全体的に向上したことを確認しました。
より迅速な修理
リリースされたばかりのHTBレポートによると、ベンダーは報告された問題に対するパッチを2012年よりもはるかに迅速にリリースしました。また、「大半のベンダーは、エンドユーザーに脆弱性について公正かつ迅速に警告しました」静かに問題にパッチを当てたか、リスクを軽視した。 このレポートでは、セキュリティ対策が不十分であるため、MicrosoftではなくMijosoftを呼びました。
重大な脆弱性にパッチを当てる平均時間は、2012年の17日間から2013年の11日間に短縮され、目覚ましい減少を見せました。 中リスクの脆弱性はさらに改善され、29日から13日になりました。 それは進歩ですが、改善の余地があります。 レポートでは、「重大な脆弱性にパッチを当てるのに11日かかることは、まだかなり長い遅れである」と述べています。
複雑さの増加
報告によると、悪者が重要な脆弱性を特定して悪用することはますます難しくなっています。 チェーン攻撃のようなテクニックに頼らなければなりません。そこでは、クリティカルな脆弱性を悪用するには、非クリティカルな脆弱性 に 成功してからでなければなりません。
2013年に、かなりの数の脆弱性が高リスクまたは重大から中リスクにダウングレードされました。具体的には、これらは攻撃者が認証またはログインされた後にのみ実行できるエクスプロイトです。信頼できるユーザーがアクセスできるのは、これらの信頼できる当事者の一部が「実際に非常に敵対的である可能性がある」からです。
社内の開発者はセキュリティに特に注意を払う必要があります。 SQLインジェクションとクロスサイトスクリプティングは最も一般的な攻撃であり、社内アプリケーションはそのような攻撃の最も一般的な被害者であり、40%です。 次にコンテンツ管理システム(CMS)プラグインが30%で、続いて25%の小さなCMSが続きます。 JoomlaやWordPressのような非常に大きなCMSでの違反は大きなニュースですが、HTBによると、それらは全体の5%しか占めていません。 多くのブログプラットフォームとCMSは、所有者が完全にパッチを適用できない、または適切に構成できないという理由だけで脆弱なままです。
それでは、WebサイトまたはCMSが侵害されるのをどのように回避しますか? このレポートは、「自動テストと人間による手動のセキュリティテストを組み合わせた場合のハイブリッドテスト」が必要であると結論付けています。 High Tech Bridgeがまさにこの種のテストを提供していることを知っても驚くには当たりません。 しかし、彼らは正しい。 実際のセキュリティを確保するには、善良な人に攻撃してもらい、修正する必要があるものを見せてほしい。