Исследование корпоративных сетей, охватывающих финансовые, производственные, ИТ, розничные, государственные и рекламные организации, показало, что 84% фирм имеют уязвимости высокого риска, существующие на их периферийных устройствах и программном обеспечении. Кроме того, 58% имели такие уязвимости, для которых существуют общедоступные эксплойты.
Исследование Positive Technologies включало сканирование более 3500 хостов в этих корпоративных сетях. Он показывает, что одна из 10 обнаруженных уязвимостей имеет общедоступные эксплойты, и примерно половина из них может быть устранена путем простой установки последнего обновления программного обеспечения.
Подробнее в источнике.
Количество обнаруженных ошибок, связанных с ненадлежащим контролем доступа (IAC), в этом году выросло на 134%
Уязвимости как в коде, так и в конструкции программного обеспечения, связанные с ограничениями доступа, могут облегчить злоумышленникам взлом системы и кражу конфиденциальных данных.
Эти недостатки ненадлежащего контроля доступа (IAC) все чаще становятся предметом внимания исследователей bug bounty, что привело к наибольшему увеличению обнаруженных недостатков в 2020 году.
Категория IAC поднялась с девятого места на второе в топ-10 уязвимостей, обнаруженных этими исследователями. За этим следовали только недостатки межсайтового скриптинга (XSS).
Подробнее в источнике.
Каждая пятая организация не тестирует свое ПО на наличие уязвимостей
Новый отчет Ponemon о тенденциях в области безопасности приложений показывает, что 56% организаций в настоящее время проверяют недостатки безопасности на протяжении всего жизненного цикла разработки приложений, а 20% вообще не проводят тестирование.
Для большинства организаций (63%) тестирование безопасности приложений на наличие недостатков обычно включает комбинацию различных методологий. Это включает тестирование на проникновение, динамическое тестирование безопасности приложений, интерактивное тестирование безопасности приложений (IAST), анализ состава программного обеспечения (SCA) и статическое тестирование безопасности приложений (SAST).
Подробнее в источнике.
80% публичных эксплойтов публикуются до публикации CVE
Киберпреступная экономика работает быстро, злоумышленники стремятся нанести удар, пока железо горячо. Согласно последним исследованиям, 80% общедоступных эксплойтов разрабатываются и выпускаются до публикации CVE для целевой уязвимости.
Среди всех общедоступных эксплойтов они публикуются в среднем за 23 дня до выпуска CVE. Среди эксплойтов, опубликованных после выпуска CVE, 50% были опубликованы в течение первого месяца после выпуска.
Подробнее в источнике.
69% вредоносных программ сегодня используют уязвимости нулевого дня
Недавнее исследование атак во втором квартале 2020 года показывает, что:
- Более двух третей обнаружений вредоносных программ связаны с той или иной формой эксплойтов нулевого дня.
- Всего за этот квартал попытки вредоносных атак нулевого дня поразили организации более 10 миллионов раз, что на 12% больше, чем в предыдущем квартале.
- Общее количество попыток атак вредоносного ПО немного сокращается, что указывает на то, что преступники все больше сосредотачиваются на своих объектах уязвимости.
Подробнее в источнике.
Во втором квартале 2020 года у Microsoft было обнаружено на 150% больше уязвимостей, чем за весь 2019 год
В 2020 году произошла огромная волна новых обнаруженных уязвимостей Microsoft. В середине года Risk Based Security сообщила, что количество раскрытых уязвимостей для Microsoft только во втором квартале было на 150% выше, чем за весь 2019 год.
Было обнаружено наибольшее количество недостатков. в Windows 10, а затем в различных версиях Windows Server.
Эта тенденция продолжается, так как за четыре вторника, следующих за серединой года, Microsoft каждый раз публикует в среднем 115 новых раскрытий.
Подробнее в источнике.
