Video: Джон Макуортер: Язык-смс — опасносте. 6u4u!!! (Oktober 2024)
Det schweiziske infosecfirma High-Tech Bridge gjorde nyhederne sidste år ved at skammes Yahoo til at tilbyde mere end bare en T-shirt som en bug-bounty. Den slags forskning er dog ikke hvad HTB-forskere gør hver dag. Deres hovedfokus er at identificere sårbarheder og frigive sikkerhedsrådgivere, der vedrører deres fund. Gruppen frigav 62 rådgivere i 2013 og oplevede en samlet forbedring i industriens lydhørhed.
Hurtigere reparationer
Ifølge en netop frigivet HTB-rapport frigav leverandører programrettelser til rapporterede problemer meget hurtigere end i 2012. Også "det store flertal af leverandører advarede deres slutbrugere om sårbarheder på en fair og hurtig måde, " hvor der i fortiden var mange har lydløst rettet problemet eller bagatelliseret risikoen. Rapporten kaldte Mijosoft (ikke Microsoft) for dårlig sikkerhedspraksis.
Den gennemsnitlige tid til opdatering af kritiske sårbarheder faldt fra 17 dage i 2012 til 11 dage i 2013, en imponerende reduktion. Sårbarheder med mellemrisiko var endnu bedre og gik fra 29 dage til 13 dage. Det er fremskridt, men der er plads til forbedringer. Rapporten bemærker, at "11 dage til afhjælpning af kritiske sårbarheder er stadig en ret lang forsinkelse."
Forøget kompleksitet
Ifølge rapporten bliver det sværere for de onde at identificere og udnytte kritiske sårbarheder. De er nødt til at ty til teknikker som kædede angreb, hvor udnyttelse af en kritisk sårbarhed kun er mulig efter succes med at have overtrådt en ikke-kritisk.
Der blev nedgraderet en hel del sårbarheder fra høj risiko eller kritisk til medium risiko i løbet af 2013. Dette er specifikt udnyttelser, der kun kan udføres, når angriberen er godkendt eller logget ind. Rapporten bemærker, at udviklere kun skal tænke på sikkerhed, selv i områder tilgængelig for betroede brugere, da nogle af disse betroede parter "faktisk kan være ganske fjendtlige."
In-house udviklere skal være ekstra opmærksomme på sikkerhed. SQL-injektion og cross-site scripting er de mest almindelige angreb, og interne applikationer er de mest almindelige ofre for sådanne angreb, 40 procent. Content Management System (CMS) plugins er næste, med 30 procent, efterfulgt af små CMS'er på 25 procent. Brud på virkelig store CMS'er som Joomla og WordPress giver store nyheder, men ifølge HTB udgør de kun fem procent af det samlede beløb. Mange blogplatforme og CMS'er forbliver sårbare, simpelthen fordi deres ejere undlader at holde dem fuldt opdateret eller ikke konfigurerer dem korrekt.
Så hvordan undgår du at få dit websted eller CMS kompromitteret? Rapporten konkluderer, at du har brug for "hybrid test, når automatiseret test kombineres med manuel sikkerhedstest af et menneske." Det vil ikke komme som nogen overraskelse at få at vide, at High Tech Bridge tilbyder nøjagtigt denne type test. Men de har ret. For reel sikkerhed, ønsker du, at de gode fyre skal angribe og vise dig, hvad du har brug for at rette op.
