Trang Chủ Đồng hồ an ninh Phản ứng bảo mật năm 2013 nhanh hơn, vẫn chưa đủ nhanh

Phản ứng bảo mật năm 2013 nhanh hơn, vẫn chưa đủ nhanh

Video: Đếm Ngày Xa Em | Only C ft. Lou Hoàng | Official MV | Nhạc trẻ mới hay tuyển chọn (Tháng mười một 2024)

Video: Đếm Ngày Xa Em | Only C ft. Lou Hoàng | Official MV | Nhạc trẻ mới hay tuyển chọn (Tháng mười một 2024)
Anonim

Công ty Infosec của Thụy Sĩ High-Tech Bridge đã đưa ra tin tức vào năm ngoái bằng cách xấu hổ cho Yahoo cung cấp nhiều hơn là một chiếc áo phông như một tiền thưởng lỗi. Mặc dù vậy, loại nghiên cứu đó không phải là những gì các nhà nghiên cứu HTB làm mỗi ngày. Trọng tâm chính của họ là xác định các lỗ hổng và phát hành các tư vấn bảo mật liên quan đến phát hiện của họ. Nhóm đã phát hành 62 cố vấn trong năm 2013, và thấy sự cải thiện tổng thể về khả năng đáp ứng của ngành.

Sửa chữa nhanh hơn

Theo báo cáo của HTB vừa được công bố, các nhà cung cấp đã phát hành các bản vá cho các vấn đề được báo cáo nhanh hơn nhiều so với năm 2012. Ngoài ra, "đại đa số các nhà cung cấp đã cảnh báo cho người dùng cuối của họ về các lỗ hổng một cách công bằng và nhanh chóng", trong quá khứ đã âm thầm vá vấn đề hoặc xem nhẹ rủi ro. Báo cáo đã gọi Mijosoft (không phải Microsoft) vì các hoạt động bảo mật kém.

Thời gian trung bình để vá các lỗ hổng nghiêm trọng đã giảm từ 17 ngày trong năm 2012 xuống còn 11 ngày vào năm 2013, một mức giảm ấn tượng. Lỗ hổng rủi ro trung bình thậm chí còn tốt hơn, từ 29 ngày đến 13 ngày. Đó là sự tiến bộ, nhưng vẫn còn chỗ để cải thiện. Báo cáo lưu ý rằng "11 ngày để vá các lỗ hổng nghiêm trọng vẫn còn một độ trễ khá dài."

Độ phức tạp tăng

Theo báo cáo, kẻ xấu sẽ khó khăn hơn trong việc xác định và khai thác các lỗ hổng nghiêm trọng. Họ phải dùng đến các kỹ thuật như tấn công bị xiềng xích, trong đó việc khai thác lỗ hổng nghiêm trọng chỉ có thể thực hiện được sau khi vi phạm thành công một điểm không quan trọng.

Khá nhiều lỗ hổng đã bị hạ cấp từ rủi ro cao hoặc nghiêm trọng xuống mức trung bình trong năm 2013. Cụ thể, đây là những khai thác chỉ có thể được thực hiện sau khi kẻ tấn công được xác thực hoặc đăng nhập. Báo cáo lưu ý rằng các nhà phát triển chỉ cần nghĩ về bảo mật ngay cả trong các khu vực người dùng đáng tin cậy có thể truy cập được, vì một số trong các bên đáng tin cậy đó "trên thực tế có thể khá thù địch."

Các nhà phát triển nội bộ cần chú ý hơn đến an ninh. SQL Injection và Cross-Site Scripting là các cuộc tấn công phổ biến nhất và các ứng dụng nội bộ là nạn nhân phổ biến nhất của các cuộc tấn công như vậy, ở mức 40%. Các plugin Hệ thống quản lý nội dung (CMS) tiếp theo, với 30 phần trăm, theo sau là các CMS nhỏ ở mức 25 phần trăm. Vi phạm tại các CMS thực sự lớn như Joomla và WordPress tạo ra tin tức lớn, nhưng theo HTB, họ chỉ chiếm năm phần trăm trong tổng số. Nhiều nền tảng blog và CMS vẫn dễ bị tổn thương đơn giản vì chủ sở hữu của chúng không giữ được bản vá đầy đủ hoặc không định cấu hình chúng đúng cách.

Vì vậy, làm thế nào để bạn tránh làm cho trang web hoặc CMS của bạn bị xâm phạm? Báo cáo kết luận rằng bạn cần "thử nghiệm lai khi thử nghiệm tự động được kết hợp với thử nghiệm bảo mật thủ công của con người". Sẽ không có gì ngạc nhiên khi biết rằng High Tech Bridge cung cấp chính xác loại thử nghiệm này. Nhưng họ đã đúng. Để bảo mật thực sự, bạn muốn những người tốt tấn công và chỉ cho bạn những gì bạn cần sửa chữa.

Phản ứng bảo mật năm 2013 nhanh hơn, vẫn chưa đủ nhanh