Последние данные об утечках данных показывают, что даже по мере того, как количество инцидентов становится немного менее частым, влияние каждого инцидента продолжает расти как с точки зрения объема раскрытых данных, так и с точки зрения потерь от киберпреступности. По одной из оценок кибер-потери за последний год выросли на 50%, и их число растет.
Ниже приведены 10 статистических данных, которые показывают, где мы находимся ближе к концу 2020 года в отношении состояния уязвимостей и эксплойтов кибербезопасности.
76% всех приложений имеют хотя бы одну уязвимость
Полное устранение уязвимостей в программном обеспечении – очень сложная задача. Недавний отчет Veracode о состоянии безопасности программного обеспечения (SOSS) показывает, что:
- 76% всех приложений имеют хотя бы одну уязвимость.
- Наиболее распространенные типы недостатков в программном обеспечении – это утечка информации, внедрение CRLF, криптографические проблемы, качество кода и управление учетными данными.
- Но только 24% программного обеспечения содержат одну или несколько уязвимостей высокой степени опасности.
Подробнее в источнике.
80% атак используют уязвимости, о которых сообщалось более трех лет
Первая половина 2020 года была занята киберпреступными действиями, и наибольший объем атак по-прежнему вызван старыми, не исправленными уязвимостями.
Согласно исследованию CheckPoint атак в первой половине 2020 года, примерно в 80% наблюдаемых атак использовались уязвимости, обнаруженные и зарегистрированные в 2017 году и ранее.
И примерно каждая пятая атака использовала уязвимости, которым не менее семи лет.
Подробнее в источнике.
Половина всех уязвимостей остается нефиксированной через 6 месяцев после обнаружения
Отчет SOSS показал, что, когда исследователи отслеживают прогресс в организации по устранению уязвимостей, обнаруженных в ходе тестирования безопасности, примерно 73% недостатков закрываются или исправляются между первым и последним сканированием, проведенным организацией.
Среди этих закрытых недостатков на их исправление уходит в среднем 86 дней. Между тем, из оставшихся 27% открытых недостатков половина из них была открыта 216 дней и их количество продолжает расти.
Чтобы получить более четкое представление о том, сколько времени требуется на исправление недостатков как в открытых, так и в закрытых образцах, исследователи разработали то, что они называют измерением периода полураспада уязвимости, то есть времени, которое требуется как минимум на половину все недочеты должны быть исправлены.
Сегодня это шесть месяцев. В дальнейшем они обнаружили, что каждый четвертый недостаток остается открытым через полтора года.
Подробнее в источнике.
84% компаний имеют уязвимости высокого риска на периметре сети
Исследование корпоративных сетей, охватывающих финансовые, производственные, ИТ, розничные, государственные и рекламные организации, показало, что 84% фирм имеют уязвимости высокого риска, существующие на их периферийных устройствах и программном обеспечении. Кроме того, 58% имели такие уязвимости, для которых существуют общедоступные эксплойты.
Исследование Positive Technologies включало сканирование более 3500 хостов в этих корпоративных сетях. Он показывает, что одна из 10 обнаруженных уязвимостей имеет общедоступные эксплойты, и примерно половина из них может быть устранена путем простой установки последнего обновления программного обеспечения.
Подробнее в источнике.
Количество обнаруженных ошибок, связанных с ненадлежащим контролем доступа (IAC), в этом году выросло на 134%
Уязвимости как в коде, так и в конструкции программного обеспечения, связанные с ограничениями доступа, могут облегчить злоумышленникам взлом системы и кражу конфиденциальных данных.
Эти недостатки ненадлежащего контроля доступа (IAC) все чаще становятся предметом внимания исследователей bug bounty, что привело к наибольшему увеличению обнаруженных недостатков в 2020 году.
Категория IAC поднялась с девятого места на второе в топ-10 уязвимостей, обнаруженных этими исследователями. За этим следовали только недостатки межсайтового скриптинга (XSS).
Подробнее в источнике.
Каждая пятая организация не тестирует свое ПО на наличие уязвимостей
Новый отчет Ponemon о тенденциях в области безопасности приложений показывает, что 56% организаций в настоящее время проверяют недостатки безопасности на протяжении всего жизненного цикла разработки приложений, а 20% вообще не проводят тестирование.
Для большинства организаций (63%) тестирование безопасности приложений на наличие недостатков обычно включает комбинацию различных методологий. Это включает тестирование на проникновение, динамическое тестирование безопасности приложений, интерактивное тестирование безопасности приложений (IAST), анализ состава программного обеспечения (SCA) и статическое тестирование безопасности приложений (SAST).
Подробнее в источнике.
80% публичных эксплойтов публикуются до публикации CVE
Киберпреступная экономика работает быстро, злоумышленники стремятся нанести удар, пока железо горячо. Согласно последним исследованиям, 80% общедоступных эксплойтов разрабатываются и выпускаются до публикации CVE для целевой уязвимости.
Среди всех общедоступных эксплойтов они публикуются в среднем за 23 дня до выпуска CVE. Среди эксплойтов, опубликованных после выпуска CVE, 50% были опубликованы в течение первого месяца после выпуска.
Подробнее в источнике.
69% вредоносных программ сегодня используют уязвимости нулевого дня
Недавнее исследование атак во втором квартале 2020 года показывает, что:
- Более двух третей обнаружений вредоносных программ связаны с той или иной формой эксплойтов нулевого дня.
- Всего за этот квартал попытки вредоносных атак нулевого дня поразили организации более 10 миллионов раз, что на 12% больше, чем в предыдущем квартале.
- Общее количество попыток атак вредоносного ПО немного сокращается, что указывает на то, что преступники все больше сосредотачиваются на своих объектах уязвимости.
Подробнее в источнике.
Во втором квартале 2020 года у Microsoft было обнаружено на 150% больше уязвимостей, чем за весь 2019 год
В 2020 году произошла огромная волна новых обнаруженных уязвимостей Microsoft. В середине года Risk Based Security сообщила, что количество раскрытых уязвимостей для Microsoft только во втором квартале было на 150% выше, чем за весь 2019 год.
Было обнаружено наибольшее количество недостатков. в Windows 10, а затем в различных версиях Windows Server.
Эта тенденция продолжается, так как за четыре вторника, следующих за серединой года, Microsoft каждый раз публикует в среднем 115 новых раскрытий.
Подробнее в источнике.