Video: The EU GDPR Explained (Marraskuu 2024)
Sveitsiläinen infosec-yritys High-Tech Bridge teki uutisia viime vuonna hämmentämällä Yahoota tarjoamalla enemmän kuin pelkästään T-paitoja vikapalkkiona. Tällainen tutkimus ei kuitenkaan ole sitä, mitä HTB-tutkijat tekevät päivittäin. Niiden pääpaino on haavoittuvuuksien tunnistamisessa ja havaintoihin liittyvien tietoturvaohjeiden julkaisemisessa. Ryhmä julkaisi 62 neuvoa vuonna 2013, ja teollisuuden reagointikyky parani yleisesti.
Nopeammat korjaukset
Äskettäin julkaistun HTB-raportin mukaan myyjät julkaisivat korjaustiedostoja ilmoitettuihin ongelmiin paljon nopeammin kuin vuonna 2012. Lisäksi "valtaosa myyjistä ilmoitti loppukäyttäjilleen haavoittuvuuksista oikeudenmukaisella ja nopealla tavalla", missä aiemmin monet olemme korjattaneet ongelmaa hiljaa tai vähentäneet riskiä. Raportissa vedettiin Mijosoftiin (ei Microsoftiin) huonojen tietoturvakäytäntöjen vuoksi.
Keskimääräinen kriittisten haavoittuvuuksien korjaamiseksi kulunut aika laski vuoden 2012 17 päivästä 11 päivään 2013, mikä on vaikuttava lyhennys. Keskisuuren riskin haavoittuvuudet menivät entistä paremmin 29 päivästä 13 päivään. Se on edistystä, mutta parantamisen varaa on. Raportissa todetaan, että "11 päivää kriittisten haavoittuvuuksien korjaamiseen on edelleen melko pitkä viive".
Lisääntynyt monimutkaisuus
Raportin mukaan pahojen poikien on entistä vaikeampaa tunnistaa ja hyödyntää kriittisiä haavoittuvuuksia. Heidän on turvauduttava tekniikoihin, kuten ketjuitettuihin hyökkäyksiin, joissa kriittisen haavoittuvuuden hyödyntäminen on mahdollista vasta sen jälkeen, kun epäkriittinen on onnistuneesti rikottu.
Melko harvat haavoittuvuudet alennettiin korkean tai kriittisen keskisuureksi vuoden 2013 aikana. Erityisesti nämä ovat hyväksikäyttöjä, jotka voidaan suorittaa vasta hyökkääjän todentamisen tai kirjautumisen jälkeen. Raportissa todetaan, että kehittäjien on ajateltava turvallisuutta vain alueillakin. luotettavien käyttäjien saataville, koska jotkut luotettavista osapuolista "voivat todellakin olla melko vihamielisiä".
Sisäisten kehittäjien on kiinnitettävä erityistä huomiota turvallisuuteen. SQL-injektiot ja sivustojenväliset komentosarjat ovat yleisimmät hyökkäykset, ja sisäiset sovellukset ovat tällaisten hyökkäysten yleisimmät uhrit, 40 prosenttia. Seuraavaksi on sisällönhallintajärjestelmän (CMS) laajennuksia 30 prosentilla, jota seuraavat pienet CMS: t 25 prosentilla. Rikkomukset todella suurissa CMS: issä, kuten Joomla ja WordPress, tekevät suuria uutisia, mutta HTB: n mukaan ne muodostavat vain viisi prosenttia kokonaismäärästä. Monet blogiympäristöt ja CMS-järjestelmät ovat edelleen haavoittuvia yksinkertaisesti siksi, että niiden omistajat eivät pysty pitämään niitä täysin paikallaan tai määrittämättä niitä oikein.
Joten miten voit välttää verkkosivustosi tai CMS: n vaarantamisen? Raportissa todetaan, että tarvitset "hybridi-testausta, kun automatisoitu testaus yhdistetään ihmisen manuaaliseen turvallisuustestaukseen". Ei ole yllätys oppia, että High Tech Bridge tarjoaa täsmälleen tällaisen testauksen. Mutta he ovat oikeassa. Todellisen turvallisuuden vuoksi haluat, että hyvät kaverit hyökkäävät ja näyttävät sinulle, mitä sinun täytyy korjata.