Антирекорд 2020: в ПО выявили уязвимостей больше, чем в любой другой год
Этот год для индустрии был, мягко говоря, «непростым» и разработчики крупного программного обеспечения поставили очередной антирекорд 2020: в этом году было выявлено рекордное количество уязвимостей. Всего, согласно данным CISA, всего за этот год в программном обеспечении различных производителей было зафиксировано 17550 уязвимостей, дыр и эксплоитов различного уровня угрозы. К сравнению, в 2019 году это число составляло 17 306 обнаруженных уязвимостей.
Сообщается, что в 2020 году специалисты нашли 4177 уязвимостей с высокого уровня против 4337 в прошлом году. Основную массу составили «дыры» среднего уровня опасности — 10 776, что ниже прошлогоднего значения в 10 956.
Общая динамика по росту количество слабостей, обнаруженных в ПО, не радует. Количество эксплоитов и уязвимостей в программном обеспечении растет, и если в процентном соотношении рост составил менее 2%, то в абсолютном выражении речь идет о почти 250 «дырах» в безопасности различных продуктов.
Если смотреть графики количества найденных уязвимостей, то основной «пик» приходится на 2017 год: именно тогда количество найденных эксполитов увеличилось кратно, почти в 2,5 раза.
В основном, уязвимости в этом году касались веб-приложений, однако значительный рост объема сомнительного кода был зафиксирован и на других направлениях. Так, дыры в API в 2020 году находили вдвое чаще, чем в предыдущем, а в Android и вовсе втрое чаще. В этом году и изменился характер уязвимостей. Если в предыдущие годы компании активно искали дыры в продуктах на клиентской стороне, о чем свидетельствуют отчеты, то теперь все больше эксплоитов стали находить в инфраструктуре IT-компаний и во внутренних продуктах, которыми пользуются сотрудники. Вероятнее всего, это связано, в первую очередь, с массовой надстройкой «тонких» клиентов и предоставления удаленного доступа сотрудникам, находящимся на изоляции из-за COVID-19. Само собой, привычный периметр безопасности из-за этого был нарушен и наружу поползли старые «болезни» и прочие проблемы софта, которые ранее «заметались под ковер» и глушились внутрикорпоративной ИБ-политикой в плане регулирования доступа и прочим.
Согласно отчету, основная часть уязвимостей касалась веб-приложений, однако заметен рост и в других сегментах. Например, число обнаруженных дыр в API выросло вдвое, а для Android — втрое. Кроме того, сменились и цели для атак и изучения. Если раньше компании больше беспокоились о проблемах в продуктах, с которыми взаимодействуют их конечные потребители, то теперь внимание уделяется и собственной IT-инфраструктуре, и продуктам, которые используются сотрудниками.
Нужно понимать, что в 2017 году разработчики по всему миру не стали резко тупее. Вполне возможно, такой ненормальный рост статистики обуславливается тем, что именно в 2017 году различные группы вскрыли огромное количество уязвимостей «нулевого дня» в старых давно существующих продуктах. Немалый вклад в это внесла как минимум инициатива Trend Micro«s Zero Day, которая специализировалась в то время как раз на таких «нулевых» эксплоитах и довела свой счетчик до 382 найденных серьезных эксплоитов против 69 годом ранее.
Примерно на 2017 год пришелся и рост активности Whitehat-специалистов, которые все активнее и активнее сотрудничали с корпорациями. В тот период только Google выделял на свою Bug Bounty-программу $3 млн, не говоря об инициативах других крупных разработчиков ПО. Все это, в совокупности с растущим сообществом Open Source и «белых шляп» могло привести к взрывному росту статистики по найденным эксплоитам. В конце 2016 года Apple запустила закрытую официальную Bug Bounty-программу по инвайтам с выплатами до $200 тысяч. Открытые программы Microsoft и Facebook тогда вообще не имели официального хардкапа по выплатам и приглашали всех желающих поискать дыры в их проектах.
Однако отрицать падение общего уровня разработки за последние годы глупо. Все больше и больше продуктов выходят в состоянии «вечной беты» чтобы привлечь инвестиции или оправдать ожидания партнеров.